Kaniadto, ang usa ka ordinaryo nga firewall ug anti-virus nga mga programa igo na aron mapanalipdan ang usa ka lokal nga network, apan ang ingon nga set dili na igo nga epektibo batok sa mga pag-atake sa mga modernong hacker ug sa malware nga midaghan bag-o lang. Ang usa ka maayo nga daan nga firewall nag-analisar lamang sa mga packet header, nga nagtugot o nagbabag kanila sumala sa usa ka hugpong sa pormal nga mga lagda. Wala kini nahibal-an bahin sa sulud sa mga pakete, ug busa dili makaila sa daw lehitimong aksyon sa mga tig-atake. Ang mga programa sa antivirus dili kanunay makadakop sa malware, mao nga ang tigdumala nag-atubang sa tahas sa pagmonitor sa abnormal nga kalihokan ug tukma sa panahon nga pag-isolate sa mga nataptan nga mga host.
Adunay daghang mga advanced nga himan nga magamit aron mapanalipdan ang imprastraktura sa IT sa usa ka kompanya. Karon kita maghisgot mahitungod sa open source intrusion detection ug prevention systems, nga mahimong ipatuman nga walay pagpalit ug mahal nga mga ekipo ug mga lisensya sa software.
Klasipikasyon sa IDS/IPS
Ang IDS (Intrusion Detection System) maoy usa ka sistema nga gidesinyo sa pagrehistro sa mga kadudahang kalihokan sa usa ka network o sa usa ka indibidwal nga kompyuter. Gitipigan niini ang mga log sa panghitabo ug gipahibalo ang empleyado nga responsable sa seguridad sa kasayuran bahin niini. Ang mosunod nga mga elemento mahimong mailhan isip kabahin sa IDS:
- mga sensor alang sa pagtan-aw sa trapiko sa network, lainlaing mga troso, ug uban pa.
- usa ka subsystem sa pagtuki nga nagpaila sa mga timailhan sa makadaot nga impluwensya sa nadawat nga datos;
- pagtipig alang sa pagtipon sa mga nag-unang panghitabo ug mga resulta sa pagtuki;
- console sa pagdumala.
Sa sinugdan, ang mga IDS giklasipikar pinaagi sa lokasyon: mahimo silang magpunting sa pagpanalipod sa indibidwal nga mga node (host-based o Host Intrusion Detection System - HIDS) o pagpanalipod sa tibuok corporate network (network-based o Network Intrusion Detection System - NIDS). Angayan nga hisgutan ang gitawag nga APIDS (Application protocol-based IDS): Gimonitor nila ang limitado nga set sa mga protocol sa lebel sa aplikasyon aron mahibal-an ang mga piho nga pag-atake ug wala maghimo lawom nga pagtuki sa mga pakete sa network. Ang ingon nga mga produkto kasagarang susama sa mga proxy ug gigamit sa pagpanalipod sa piho nga mga serbisyo: usa ka web server ug mga aplikasyon sa web (pananglitan, gisulat sa PHP), usa ka database server, ug uban pa. Usa ka tipikal nga pananglitan niini nga klase mao ang mod_security alang sa Apache web server.
Mas interesado kami sa unibersal nga NIDS nga nagsuporta sa usa ka halapad nga mga protocol sa komunikasyon ug mga teknolohiya sa DPI (Deep Packet Inspection). Ilang gimonitor ang tanang lumalabay nga trapiko, sugod sa data link layer, ug nakamatikod sa usa ka halapad nga mga pag-atake sa network, ingon man mga pagsulay sa dili awtorisadong pag-access sa impormasyon. Kasagaran ang ingon nga mga sistema adunay usa ka gipang-apod-apod nga arkitektura ug mahimong makig-uban sa lainlaing mga aktibo nga kagamitan sa network. Timan-i nga daghang modernong NIDS ang hybrid ug naghiusa sa daghang mga pamaagi. Depende sa pag-configure ug mga setting, masulbad nila ang lainlaing mga problema - pananglitan, pagpanalipod sa usa ka node o sa tibuuk nga network. Dugang pa, ang mga gimbuhaton sa IDS alang sa mga workstation gikuha sa mga pakete sa anti-virus, nga, tungod sa pagkaylap sa mga Trojan nga gitumong sa pagpangawat sa kasayuran, nahimo nga multifunctional nga mga firewall nga nagsulbad usab sa mga problema sa pag-ila ug pagbabag sa mga kadudahang trapiko.
Sa sinugdan, ang IDS makamatikod lamang sa kalihokan sa malware, mga port scanner, o, ingnon ta, mga paglapas sa tiggamit sa mga polisiya sa seguridad sa korporasyon. Sa diha nga ang usa ka piho nga panghitabo nahitabo, ilang gipahibalo ang administrador, apan kini dali nga nahimong tin-aw nga ang pag-ila lamang sa pag-atake dili igo - kini kinahanglan nga babagan. Busa ang mga IDS giusab ngadto sa IPS (Intrusion Prevention Systems) - mga sistema sa pagpugong sa pagsulod nga makahimo sa pagpakig-uban sa mga firewall.
Mga pamaagi sa pagtuki
Ang modernong intrusion detection ug prevention nga mga solusyon naggamit ug lain-laing mga pamaagi aron mailhan ang malisyoso nga kalihokan, nga mahimong bahinon sa tulo ka mga kategoriya. Naghatag kini kanamo og laing kapilian alang sa pagklasipikar sa mga sistema:
- Ang mga IDS/IPS nga nakabase sa pirma nakamatikod sa mga pattern sa trapiko o nag-monitor sa mga pagbag-o sa estado sa mga sistema aron mahibal-an ang pag-atake sa network o pagsulay sa impeksyon. Halos wala sila maghatag ug sayop nga sunog ug bakak nga mga positibo, apan dili makaila sa wala mailhi nga mga hulga;
- Ang mga IDS nga nag-detect sa anomaliya wala mogamit ug mga pirma sa pag-atake. Ilang giila ang abnormal nga kinaiya sa mga sistema sa impormasyon (lakip ang mga anomaliya sa trapiko sa network) ug makamatikod pa gani sa wala mailhi nga mga pag-atake. Ang ingon nga mga sistema naghatag daghang mga sayup nga positibo ug, kung gigamit nga dili husto, maparalisa ang operasyon sa lokal nga network;
- Ang mga IDS nga gipasukad sa lagda nagtrabaho sa prinsipyo: kung FACT unya ACTION. Sa esensya, kini ang mga sistema sa eksperto nga adunay mga sukaranan sa kahibalo - usa ka hugpong sa mga kamatuoran ug mga lagda sa lohikal nga inference. Ang ingon nga mga solusyon kay labor-intensive sa pag-set up ug kinahanglan ang tagdumala nga adunay usa ka detalyado nga pagsabut sa network.
Kasaysayan sa pagpalambo sa IDS
Ang panahon sa paspas nga pag-uswag sa Internet ug mga corporate network nagsugod sa 90s sa miaging siglo, apan ang mga eksperto nalibog sa mga advanced nga teknolohiya sa seguridad sa network sa sayo pa. Niadtong 1986, gipatik ni Dorothy Denning ug Peter Neumann ang IDES (Intrusion detection expert system) nga modelo, nga nahimong basehan sa kadaghanang modernong intrusion detection system. Gigamit niini ang usa ka sistema sa eksperto aron mahibal-an ang nahibal-an nga mga tipo sa pag-atake, ingon man ang mga pamaagi sa istatistika ug mga profile sa gumagamit / sistema. Ang IDES nagdagan sa mga workstation sa Sun, nag-inspeksyon sa trapiko sa network ug datos sa aplikasyon. Sa 1993, ang NIDES (Next-generation Intrusion Detection Expert System) gipagawas - usa ka bag-ong henerasyon nga intrusion detection expert system.
Pinasukad sa buhat ni Denning ug Neumann, ang MIDAS (Multics intrusion detection and alerting system) nga sistema sa eksperto gamit ang P-BEST ug LISP nagpakita kaniadtong 1988. Sa samang higayon, ang sistema sa Haystack nga gibase sa mga pamaagi sa istatistika gimugna. Ang laing statistical anomaly detector, W&S (Wisdom & Sense), naugmad paglabay sa usa ka tuig sa Los Alamos National Laboratory. Ang industriya nag-uswag sa paspas nga tulin. Pananglitan, sa 1990, ang sistema sa TIM (Time-based inductive machine) nagpatuman na sa anomaliya nga pagkakita gamit ang inductive learning sa sequential user patterns (Common LISP language). Gikumpara sa NSM (Network Security Monitor) ang mga access matrice aron makit-an ang mga anomaliya, ug ang ISOA (Information Security Officer's Assistant) nagsuporta sa lainlaing mga estratehiya sa pag-ila: mga pamaagi sa istatistika, pagsusi sa profile ug sistema sa eksperto. Ang sistema sa ComputerWatch nga gihimo sa AT&T Bell Labs migamit ug mga pamaagi sa estadistika ug mga lagda alang sa pag-verify, ug ang mga developer sa Unibersidad sa California nakadawat sa unang prototype sa usa ka gipang-apod-apod nga IDS balik sa 1991 - ang DIDS (Distributed Intrusion Detection System) usa usab ka eksperto nga sistema.
Sa sinugdan, ang IDS gipanag-iya, apan sa 1998, ang National Laboratory. Gipagawas ni Lawrence Berkeley si Bro (gingalan og Zeek sa 2018), usa ka open source system nga naggamit ug proprietary rules language para sa pag-analisar sa libpcap data. Niadtong Nobyembre sa samang tuig, mitungha ang APE packet sniffer gamit ang libpcap, nga paglabay sa usa ka bulan ginganlan og Snort, ug sa ulahi nahimong bug-os nga IDS/IPS. Sa parehas nga oras, daghang mga proprietary nga solusyon ang nagsugod sa pagpakita.
Snort ug Suricata
Daghang mga kompanya ang gusto nga libre ug bukas nga gigikanan nga IDS/IPS. Sa dugay nga panahon, ang nahisgutan na nga Snort giisip nga sumbanan nga solusyon, apan karon gipulihan na kini sa sistema sa Suricata. Atong tan-awon ang ilang mga bentaha ug mga disbentaha sa usa ka gamay nga detalye. Gihiusa sa Snort ang mga benepisyo sa usa ka pamaagi nga nakabase sa pirma nga adunay katakus nga makit-an ang mga anomaliya sa tinuud nga oras. Gitugotan ka usab sa Suricata nga mogamit sa ubang mga pamaagi gawas sa pag-ila sa mga pag-atake pinaagi sa mga pirma. Ang sistema gimugna sa usa ka grupo sa mga developers nga nahimulag sa Snort project ug nagsuporta sa IPS functions sugod sa version 1.4, ug ang Snort nagpaila sa abilidad sa pagpugong sa mga intrusions sa ulahi.
Ang nag-unang kalainan tali sa duha ka sikat nga mga produkto mao ang abilidad ni Suricata sa paggamit sa GPU computing sa IDS mode, ingon man ang mas abante nga IPS. Ang sistema sa sinugdanan gidisenyo alang sa multi-threading, samtang ang Snort usa ka single-threaded nga produkto. Tungod sa taas nga kasaysayan ug code sa panulundon, wala kini magamit sa labing maayo nga mga platform sa multiprocessor/multicore hardware, samtang ang Suricata makadumala sa trapiko hangtod sa 10 Gbps sa regular nga mga kompyuter nga kasagarang katuyoan. Makasulti kami sa dugay nga panahon bahin sa pagkaparehas ug kalainan tali sa duha nga mga sistema, apan bisan kung ang makina sa Suricata molihok nga mas paspas, tungod kay dili kaayo halapad nga mga kanal kini dili hinungdanon.
Mga Opsyon sa Pag-deploy
Ang IPS kinahanglan ibutang sa paagi nga ang sistema makamonitor sa mga bahin sa network ubos sa kontrol niini. Kasagaran, kini usa ka dedikado nga kompyuter, usa ka interface nga konektado pagkahuman sa mga aparato sa ngilit ug "pagtan-aw" pinaagi kanila sa walaβy panalipod nga mga pampublikong network (ang Internet). Ang laing interface sa IPS konektado sa input sa giprotektahan nga bahin aron ang tanan nga trapiko moagi sa sistema ug masusi. Sa mas komplikado nga mga kaso, mahimo nga adunay daghang gipanalipdan nga mga bahin: pananglitan, sa mga network sa korporasyon usa ka demilitarized zone (DMZ) kanunay nga gigahin sa mga serbisyo nga makuha gikan sa Internet.
Ang ingon nga IPS makapugong sa pag-scan sa port o mga pag-atake sa brute force sa password, pagpahimulos sa mga kahuyangan sa mail server, web server o mga script, ingon man sa ubang mga matang sa mga eksternal nga pag-atake. Kung ang mga kompyuter sa lokal nga network nataptan sa malware, ang IDS dili motugot kanila sa pagkontak sa mga botnet server nga nahimutang sa gawas. Alang sa mas seryoso nga proteksyon sa internal nga network, ang usa ka komplikado nga configuration nga adunay usa ka distributed system ug mahal nga gidumala nga mga switch nga makahimo sa pagsalamin sa trapiko alang sa IDS interface nga konektado sa usa sa mga pantalan lagmit gikinahanglan.
Ang mga network sa korporasyon kanunay nga gipailalom sa giapod-apod nga pagdumili sa serbisyo (DDoS) nga mga pag-atake. Bisan kung ang modernong mga IDS makahimo sa pag-atubang niini, ang opsyon sa pag-deploy sa ibabaw dili tingali makatabang dinhi. Ang sistema makaila sa malisyosong kalihokan ug makababag sa sayop nga trapiko, apan aron mahimo kini, ang mga pakete kinahanglang moagi sa gawas nga koneksyon sa Internet ug makaabot sa network interface niini. Depende sa intensity sa pag-atake, ang data transmission channel mahimong dili makasagubang sa load ug makab-ot ang tumong sa mga tig-atake. Alang sa ingon nga mga kaso, among girekomenda ang pag-deploy sa mga IDS sa usa ka virtual server nga adunay klaro nga labi ka kusgan nga koneksyon sa Internet. Mahimo nimong ikonektar ang VPS sa lokal nga network pinaagi sa usa ka VPN, ug unya kinahanglan nimo nga i-configure ang pag-ruta sa tanan nga gawas nga trapiko pinaagi niini. Pagkahuman, kung adunay pag-atake sa DDoS, dili nimo kinahanglan ipadala ang mga pakete pinaagi sa koneksyon sa provider; ma-block sila sa external node.
Suliran sa pagpili
Lisud kaayo ang pag-ila sa usa ka lider sa mga libre nga sistema. Ang pagpili sa IDS / IPS gitino sa topology sa network, ang gikinahanglan nga mga function sa seguridad, ingon man ang mga personal nga gusto sa tagdumala ug ang iyang tinguha nga mag-tinker sa mga setting. Ang Snort adunay mas taas nga kasaysayan ug mas maayo nga nadokumento, bisan kung ang kasayuran sa Suricata dali ra usab makit-an online. Sa bisan unsa nga kaso, aron ma-master ang sistema kinahanglan nimo nga maghimo pipila ka mga paningkamot, nga sa katapusan mabayran - ang komersyal nga hardware ug hardware-software IDS/IPS mahal kaayo ug dili kanunay mohaum sa badyet. Walay kapuslanan ang pagbasol sa nausik nga oras, tungod kay ang usa ka maayong admin kanunay nga nagpauswag sa iyang kahanas sa gasto sa amo. Niini nga sitwasyon, ang tanan modaog. Sa sunod nga artikulo atong tan-awon ang pipila ka mga opsyon sa pag-deploy sa Suricata ug itandi ang usa ka mas modernong sistema sa classic IDS/IPS Snort sa praktis.
Source: www.habr.com