Una volta, un firewall ordinariu è i prugrammi anti-virus eranu abbastanza per prutege a reta lucale, ma un tali settore ùn hè più abbastanza efficace contr'à l'attacchi di i pirate muderni è u malware chì hà proliferatu pocu tempu. U bonu vechju firewall analizà solu intestazioni di pacchetti, passendu o bluccà in cunfurmità cù un inseme di regule formale. Ùn cunnosci micca nunda di u cuntenutu di i pacchetti, è per quessa ùn pò micca ricunnosce l'azzioni fora legittimi di l'intrusi. I prugrammi antivirus ùn anu micca sempre catturà malware, cusì l'amministratore hè affruntatu cù u compitu di monitorà l'attività anomala è isolà l'ospiti infettati in una manera puntuale.
Ci sò parechje strumenti avanzati chì permettenu di prutezzione di l'infrastruttura IT di a cumpagnia. Oghje parlemu di sistemi di rilevazione è prevenzione di intrusioni open source chì ponu esse implementati senza cumprà licenze di hardware è software caru.
Classificazione IDS/IPS
IDS (Intrusion Detection System) hè un sistema cuncepitu per registrà attività sospette in una rete o in un computer separatu. Mantene i logs di l'avvenimenti è notifica à a persona rispunsevule per a sicurità di l'infurmazioni nantu à elli. L'IDS include i seguenti elementi:
- sensori per vede u trafficu di a rete, diversi logs, etc.
- un sottosistema di analisi chì rileva signali di effetti dannosi in i dati ricevuti;
- almacenamiento per l'accumulazione di avvenimenti primari è risultati di l'analisi;
- cunsola di gestione.
Inizialmente, l'IDS sò stati classificati per locu: puderanu focalizà nantu à a prutezzione di i nodi individuali (basatu in l'ospite o Sistema di Detezzione di Intrusioni Host - HIDS) o prutezzione di tutta a reta corporativa (basatu in a rete o Sistema di Rilevazione di Intrusioni in Rete - NIDS). Vale a pena menzionate u cusì chjamatu. APIDS (Application Protocol-based IDS): Monitoranu un inseme limitatu di protokolli di strata di l'applicazione per detectà attacchi specifichi è ùn analizanu micca in profondità i pacchetti di rete. Tali prudutti sò generalmente s'assumiglia à proxy è sò usati per prutezzione di servizii specifichi: servitore web è applicazioni web (per esempiu, scritti in PHP), servitori di basa di dati, etc. Un rappresentante tipicu di sta classa hè mod_security per u servitore web Apache.
Semu più interessate in NIDS universali chì supportanu una larga gamma di protokolli di cumunicazione è tecnulugia di analisi di pacchetti DPI (Deep Packet Inspection). Monitoranu tuttu u trafficu chì passa, partendu da a strata di ligame di dati, è rileva una larga gamma di attacchi di rete, è ancu accessu micca autorizatu à l'infurmazioni. Spessu tali sistemi anu una architettura distribuita è ponu interagisce cù diversi equipaghji di rete attiva. Innota chì assai NIDS muderni sò hibridi è combina parechji approcci. Sicondu a cunfigurazione è i paràmetri, ponu risolve diversi prublemi - per esempiu, prutegge un node o tutta a reta. Inoltre, e funzioni di l'IDS per e stazioni di travagliu sò stati ripresi da i pacchetti antivirus, chì, per via di a diffusione di troiani destinati à arrubà l'infurmazioni, si sò trasformati in firewalls multifunzionali chì risolve ancu i travaglii di ricunnosce è bluccà u trafficu suspettu.
Inizialmente, IDS puderia detectà solu l'attività di malware, scanners di portu, o, per dì, violazioni di l'utilizatori di e pulitiche di sicurezza corporativa. Quandu un certu avvenimentu hè accadutu, anu notificatu à l'amministratore, ma hè diventatu prestu chjaru chì solu ricunnosce l'attaccu ùn era micca abbastanza - ci vole à esse bluccatu. Allora IDS trasfurmatu in IPS (Intrusion Prevention Systems) - sistemi di prevenzione di intrusioni chì ponu interagisce cù firewalls.
I metudi di rilevazione
Soluzioni muderni di rilevazione è prevenzione di l'intrusioni utilizanu diversi metudi per detectà attività maliziusi, chì ponu esse divisi in trè categurie. Questu ci dà una altra opzione per classificà i sistemi:
- IDS / IPS basati in firma cercanu mudelli in u trafficu o monitoranu i cambiamenti di u statu di u sistema per detectà un attaccu di rete o un tentativu di infezzione. Praticamente ùn dà micca misfires è falsi pusitivi, ma ùn sò micca capaci di detectà minacce scunnisciute;
- L'IDS di rilevazione di anomalie ùn utilizanu micca e firme di attaccu. Ricunnoscenu un cumpurtamentu anormale di i sistemi d'infurmazione (cumprese anomalie in u trafficu di a rete) è ponu detectà ancu attacchi scunnisciuti. Tali sistemi dà assai falsi pusitivi è, s'ellu s'utilice in modu incorrectu, paralizanu l'operazione di a reta lucale;
- IDS basati in regule funzionanu cum'è: se FATTU allora ACTION. In fatti, questi sò sistemi esperti cù basi di cunniscenza - un inseme di fatti è regule di inferenza. Tali suluzioni sò assai tempu per stallà è esigenu chì l'amministratore hà una cunniscenza dettagliata di a reta.
Storia di u sviluppu di IDS
L'era di u sviluppu rapidu di l'Internet è di e rete di l'imprese cuminciò in l'anni 90 di u seculu passatu, però, l'esperti eranu perplessi da tecnulugia avanzata di sicurezza di rete un pocu prima. In u 1986, Dorothy Denning è Peter Neumann pubbricau u mudellu IDES (Intrusion detection expert system), chì diventò a basa di a maiò parte di i sistemi di rilevazione di intrusione muderni. Hà utilizatu un sistema espertu per identificà attacchi cunnisciuti, è ancu metudi statistici è profili d'utilizatori / sistema. IDES hà funzionatu nantu à stazioni di travagliu Sun, cuntrollà u trafficu di a rete è e dati di l'applicazione. In u 1993, NIDES (Next-generation Intrusion Detection Expert System) hè stata liberata - un sistema espertu di rilevazione di intrusioni di nova generazione.
Basatu nantu à u travagliu di Denning è Neumann, u sistema espertu MIDAS (Multics intrusion detection and alerting system) apparsu in 1988, utilizendu P-BEST è LISP. À u listessu tempu, u sistema Haystack basatu nantu à i metudi statistichi hè statu creatu. Un altru detector di anomalie statistiche, W&S (Wisdom & Sense), hè statu sviluppatu un annu dopu à u Laboratoriu Naziunale di Los Alamos. U sviluppu di l'industria prucede à un ritmu rapidu. Per esempiu, in u 1990, a rilevazione di l'anomali era digià implementata in u sistema TIM (Macchina induttiva basata in u tempu) utilizendu l'apprendimentu induttivu nantu à mudelli d'utilizatori sequenziali (lingua LISP cumuna). NSM (Monitoru di Sicurezza di a Rete) hà paragunatu matrici d'accessu per a rilevazione di anomalie, è ISOA (Assistente di l'Ufficiale di Sicurezza di l'Informazione) hà supportatu diverse strategie di rilevazione: metudi statistici, cuntrollu di prufilu è sistema espertu. U sistema ComputerWatch creatu in AT & T Bell Labs hà utilizatu i metudi statistichi è e regule per a verificazione, è i sviluppatori di l'Università di California anu ricevutu u primu prototipu di un IDS distribuitu in u 1991 - DIDS (Sistema di rilevazione di intrusioni distribuitu) era ancu un espertu. sistema.
À u principiu, IDS eranu pruprietariu, ma digià in u 1998, u Laboratoriu Naziunale. Lawrence à Berkeley hà liberatu Bro (rinominatu Zeek in 2018), un sistema open source chì usa a so propria lingua di regule per analizà e dati libpcap. In nuvembre di u stessu annu, apparsu u sniffer di pacchetti APE cù libpcap, chì un mesi dopu hè statu rinominatu Snort, è più tardi hè diventatu un IDS / IPS cumpletu. À u listessu tempu, numerosi suluzioni pruprietariu cuminciaru à apparisce.
Snort è Suricata
Parechje cumpagnie preferanu IDS / IPS gratuiti è open source. Per un bellu pezzu, u Snort digià citatu era cunsideratu a suluzione standard, ma avà hè stata rimpiazzata da u sistema Suricata. Cunsiderate i so vantaghji è disadvantages in un pocu più di dettu. Snort combina i vantaghji di un metudu di firma cù a capacità di detect anomalie in tempu reale. Suricata permette ancu altri metudi oltri a deteczione di a firma di l'attaccu. U sistema hè statu creatu da un gruppu di sviluppatori chì si sò spartuti da u prughjettu Snort è sustene e funzioni IPS da a versione 1.4, mentre chì a prevenzione di intrusioni apparsu in Snort più tardi.
A principal diferenza trà i dui prudutti populari hè a capacità di Suricata di utilizà a GPU per l'informatica IDS, è ancu l'IPS più avanzati. U sistema hè statu urigginariamente pensatu per multi-threading, mentri Snort hè un pruduttu unicu. A causa di a so longa storia è di u codice legatu, ùn faci micca l'usu ottimale di e plataforme di hardware multi-processori / multi-core, mentri Suricata pò trattà u trafficu finu à 10 Gbps in l'urdinatori di scopu generale normale. Pudete parlà di e similitudini è e differenze trà i dui sistemi per un bellu pezzu, ma ancu chì u mutore Suricata travaglia più veloce, per i canali micca troppu largu ùn importa micca.
Opzioni di implementazione
IPS deve esse piazzatu in modu chì u sistema pò monitorà i segmenti di a rete sottu u so cuntrollu. A maiò spessu, questu hè un urdinatore dedicatu, una interfaccia di quale cunnetta dopu à i dispositi di punta è "sguarda" per elli à e rete publiche senza assicurazione (Internet). Un'altra interfaccia IPS hè cunnessa à l'input di u segmentu prutettu per chì tuttu u trafficu passa per u sistema è hè analizatu. In i casi più cumplessi, pò esse parechji segmenti prutetti: per esempiu, in e rete corporativa, una zona demilitarizzata (DMZ) hè spessu attribuita cù servizii accessibili da Internet.
Un tali IPS pò prevene scanning di portu o attacchi di forza bruta, sfruttamentu di vulnerabili in u servitore di mail, web server o scripts, è ancu altri tipi di attacchi esterni. Se l'urdinatori in a reta lucale sò infettati cù malware, IDS ùn li permettenu micca di cuntattà i servitori di botnet situati fora. A prutezzione più seria di a reta interna più prubabilmente necessitarà una cunfigurazione cumplessa cù un sistema distribuitu è i switches gestiti caru capaci di riflette u trafficu per una interfaccia IDS cunnessa à unu di i porti.
Spessu e rete corporative sò sottumessi à attacchi distribuiti di denial-of-service (DDoS). Ancu l'IDS muderni ponu trattà cun elli, l'opzione di implementazione sopra hè di pocu aiutu quì. U sistema ricunnosce l'attività maliciosa è blucca u trafficu spuriu, ma per questu, i pacchetti devenu passà per una cunnessione Internet esterna è ghjunghje à a so interfaccia di rete. Sicondu l'intensità di l'attaccu, u canali di trasmissione di dati pò esse micca capaci di affruntà a carica è u scopu di l'attaccanti serà ottenutu. Per tali casi, ricumandemu di implementà IDS in un servitore virtuale cù una cunnessione Internet cunnisciuta megliu. Pudete cunnette u VPS à a reta lucale attraversu una VPN, è dopu avete bisognu di cunfigurà u routing di tuttu u trafficu esternu attraversu. Allora, in l'eventu di un attaccu DDoS, ùn avete micca bisognu di guidà i pacchetti attraversu a cunnessione à u fornitore, seranu bluccati nantu à l'ospite esternu.
Problema di scelta
Hè assai difficiuli di identificà un capu trà i sistemi liberi. L'scelta di IDS / IPS hè determinata da a topologia di a rete, e funzioni di sicurezza necessarie, è ancu e preferenze persunali di l'amministratore è u so desideriu di fiddle cù i paràmetri. Snort hà una storia più longa è hè megliu documentatu, ancu s'è l'infurmazioni nantu à Suricata hè ancu faciule di truvà in ligna. In ogni casu, per ammaistrà u sistema, duverete fà qualchì sforzu, chì eventualmente pagherà - hardware cummerciale è hardware-software IDS / IPS sò abbastanza caru è ùn sò micca sempre in u budget. Ùn avete micca dispiace u tempu passatu, perchè un bon amministratore sempre migliurà a so qualificazione à a spesa di u patronu. In questa situazione, tutti vincenu. In u prossimu articulu, fighjemu alcune opzioni per implementà Suricata è paragunate u sistema più mudernu cù u classicu IDS / IPS Snort in pratica.
Source: www.habr.com