Kdysi k ochraně lokální sítě stačil obyčejný firewall a antivirové programy, ale proti útokům moderních hackerů a v poslední době se množícímu malwaru už taková sestava nestačí. Starý dobrý firewall analyzuje pouze hlavičky paketů a předává je nebo blokuje v souladu se sadou formálních pravidel. O obsahu balíčků nic neví, a proto nemůže rozpoznat navenek legitimní jednání narušitelů. Antivirové programy ne vždy malware zachytí, takže správce stojí před úkolem monitorovat anomální aktivitu a včas izolovat infikované hostitele.
Existuje mnoho pokročilých nástrojů, které umožňují chránit firemní IT infrastrukturu. Dnes budeme hovořit o open source systémech detekce a prevence narušení, které lze implementovat bez nákupu drahých hardwarových a softwarových licencí.
Klasifikace IDS/IPS
IDS (Intrusion Detection System) je systém určený k registraci podezřelých aktivit v síti nebo na samostatném počítači. Vede protokoly událostí a informuje o nich osobu odpovědnou za zabezpečení informací. IDS obsahuje následující prvky:
- senzory pro prohlížení síťového provozu, různé logy atd.
- analytický subsystém, který detekuje známky škodlivých účinků v přijatých datech;
- úložiště pro akumulaci primárních událostí a výsledků analýz;
- konzole pro správu.
Zpočátku byly IDS klasifikovány podle umístění: mohly být zaměřeny na ochranu jednotlivých uzlů (host-based nebo Host Intrusion Detection System - HIDS) nebo na ochranu celé podnikové sítě (network-based nebo Network Intrusion Detection System - NIDS). Za zmínku stojí tzv. APIDS (IDS založené na aplikačním protokolu): Monitorují omezenou sadu protokolů aplikační vrstvy, aby detekovaly specifické útoky a neanalyzují hloubkově síťové pakety. Takové produkty obvykle připomínají proxy a používají se k ochraně konkrétních služeb: webový server a webové aplikace (například napsané v PHP), databázové servery atd. Typickým představitelem této třídy je mod_security pro webový server Apache.
Více nás zajímají univerzální NIDS, které podporují širokou škálu komunikačních protokolů a technologií analýzy paketů DPI (Deep Packet Inspection). Monitorují veškerý procházející provoz, počínaje vrstvou datového spojení, a detekují širokou škálu síťových útoků a také neoprávněný přístup k informacím. Tyto systémy mají často distribuovanou architekturu a mohou interagovat s různými aktivními síťovými zařízeními. Všimněte si, že mnoho moderních NIDS je hybridních a kombinuje několik přístupů. V závislosti na konfiguraci a nastavení mohou řešit různé problémy - například ochranu jednoho uzlu nebo celé sítě. Funkce IDS pro pracovní stanice navíc převzaly antivirové balíčky, které se díky rozšíření trojských koní zaměřených na krádeže informací proměnily v multifunkční firewally řešící i úlohy rozpoznávání a blokování podezřelého provozu.
Zpočátku mohla IDS detekovat pouze aktivitu malwaru, skenery portů nebo, řekněme, uživatelská porušení podnikových bezpečnostních zásad. Když došlo k určité události, upozornili administrátora, ale rychle se ukázalo, že pouhé rozpoznání útoku nestačí – je potřeba jej zablokovat. IDS se tedy transformovalo na IPS (Intrusion Prevention Systems) – systémy prevence narušení, které mohou interagovat s firewally.
Detekční metody
Moderní řešení detekce a prevence narušení využívají k detekci škodlivé činnosti různé metody, které lze rozdělit do tří kategorií. To nám dává další možnost klasifikace systémů:
- IDS/IPS založené na signaturách hledají vzory v provozu nebo monitorují změny stavu systému, aby detekovaly síťový útok nebo pokus o infekci. Prakticky nedávají chybné zapalování a falešné poplachy, ale nejsou schopny identifikovat neznámé hrozby;
- IDS detekující anomálie nepoužívají signatury útoku. Rozpoznají abnormální chování informačních systémů (včetně anomálií v síťovém provozu) a dokážou odhalit i neznámé útoky. Takové systémy poskytují poměrně mnoho falešných poplachů a při nesprávném použití paralyzují provoz místní sítě;
- IDS založené na pravidlech fungují takto: když FAKT, pak AKCE. Ve skutečnosti se jedná o expertní systémy se znalostními bázemi – souborem faktů a pravidel vyvozování. Taková řešení jsou časově náročná na nastavení a vyžadují, aby správce podrobně porozuměl síti.
Historie vývoje IDS
Éra překotného rozvoje internetu a podnikových sítí začala v 90. letech minulého století, odborníci si však lámali hlavu nad pokročilými technologiemi zabezpečení sítí už o něco dříve. V roce 1986 Dorothy Denning a Peter Neumann publikovali model IDES (Intrusion detection expert system), který se stal základem většiny moderních systémů detekce narušení. Použila expertní systém k identifikaci známých útoků a také statistické metody a profily uživatelů/systémů. IDES běžel na pracovních stanicích Sun a kontroloval síťový provoz a data aplikací. V roce 1993 byl uveden na trh NIDES (Next-generation Intrusion Detection Expert System) - expertní systém nové generace pro detekci narušení.
Na základě práce Denninga a Neumanna se v roce 1988 objevil expertní systém MIDAS (Multics Intrusion Detection and Alarming system) využívající P-BEST a LISP. Zároveň vznikl systém Haystack založený na statistických metodách. Další detektor statistických anomálií, W&S (Wisdom & Sense), byl vyvinut o rok později v Los Alamos National Laboratory. Rozvoj průmyslu šel rychlým tempem. Například v roce 1990 byla již detekce anomálií implementována v systému TIM (Time-based indukční stroj) využívajícím indukční učení na sekvenčních uživatelských vzorech (Common LISP language). NSM (Network Security Monitor) porovnával přístupové matice pro detekci anomálií a ISOA (Information Security Officer's Assistant) podporoval různé detekční strategie: statistické metody, kontrolu profilu a expertní systém. Systém ComputerWatch vytvořený v AT & T Bell Labs využíval pro ověřování jak statistické metody, tak pravidla a vývojáři z Kalifornské univerzity obdrželi první prototyp distribuovaného IDS již v roce 1991 - expertem byl také DIDS (Distributed Intrusion Detection system). Systém.
Nejprve byly IDS proprietární, ale již v roce 1998 Národní laboratoř. Lawrence at Berkeley vydal Bro (v roce 2018 přejmenován na Zeek), open source systém, který používá svůj vlastní jazyk pravidel pro analýzu dat libpcap. V listopadu téhož roku se objevil paketový sniffer APE využívající libpcap, který byl o měsíc později přejmenován na Snort a později se stal plnohodnotným IDS / IPS. Současně se začala objevovat řada proprietárních řešení.
Snort a Suricata
Mnoho společností preferuje bezplatné a open source IDS/IPS. Dlouhou dobu byl za standardní řešení považován již zmíněný Snort, nyní jej však nahradil systém Suricata. Zvažte jejich výhody a nevýhody trochu podrobněji. Snort kombinuje výhody podpisové metody s detekcí anomálií v reálném čase. Suricata umožňuje kromě detekce signatur útoku i další metody. Systém byl vytvořen skupinou vývojářů, kteří se oddělili od projektu Snort a podporuje funkce IPS od verze 1.4, zatímco prevence narušení se ve Snortu objevila později.
Hlavním rozdílem mezi těmito dvěma populárními produkty je schopnost Suricaty používat GPU pro výpočetní IDS a také pokročilejší IPS. Systém byl původně navržen pro vícevláknové zpracování, zatímco Snort je jednovláknový produkt. Vzhledem ke své dlouhé historii a staršímu kódu nevyužívá optimálně víceprocesorové/multi-jádrové hardwarové platformy, zatímco Suricata zvládne provoz až 10 Gb/s na běžných počítačích pro všeobecné použití. O podobnostech a rozdílech mezi těmito dvěma systémy můžete mluvit dlouho, ale ačkoli Suricata engine pracuje rychleji, pro nepříliš široké kanály to nevadí.
Možnosti nasazení
IPS musí být umístěn tak, aby systém mohl monitorovat segmenty sítě, které má pod kontrolou. Nejčastěji se jedná o dedikovaný počítač, jehož jedno rozhraní se připojuje za okrajová zařízení a „prohlíží“ je do nezabezpečených veřejných sítí (Internet). Na vstup chráněného segmentu je připojeno další IPS rozhraní, takže veškerý provoz prochází systémem a je analyzován. Ve složitějších případech může existovat několik chráněných segmentů: například v podnikových sítích je často přidělena demilitarizovaná zóna (DMZ) se službami dostupnými z internetu.
Takový IPS může zabránit skenování portů nebo útokům hrubou silou, zneužití zranitelností v poštovním serveru, webovém serveru nebo skriptech a také dalším typům externích útoků. Pokud jsou počítače v místní síti infikovány malwarem, IDS jim nedovolí kontaktovat servery botnetů umístěné mimo. Vážnější ochrana vnitřní sítě bude nejspíš vyžadovat složitou konfiguraci s distribuovaným systémem a drahými spravovanými přepínači schopnými zrcadlit provoz pro rozhraní IDS připojené k jednomu z portů.
Firemní sítě jsou často vystaveny útokům DDoS (distributed denial-of-service). I když si s nimi moderní IDS poradí, výše uvedená možnost nasazení zde nepomůže. Systém rozpozná škodlivou aktivitu a blokuje falešný provoz, ale k tomu musí pakety projít externím internetovým připojením a dostat se do jeho síťového rozhraní. V závislosti na intenzitě útoku se může stát, že kanál přenosu dat nebude schopen zvládnout zátěž a cíle útočníků bude dosaženo. Pro takové případy doporučujeme nasadit IDS na virtuální server se známým lepším internetovým připojením. VPS můžete připojit k místní síti prostřednictvím VPN a poté budete muset nakonfigurovat směrování veškerého externího provozu přes něj. Pak v případě DDoS útoku nebudete muset hnát pakety přes připojení k poskytovateli, budou blokovány na externím hostiteli.
Problém výběru
Je velmi obtížné identifikovat lídra mezi svobodnými systémy. Výběr IDS / IPS je dán topologií sítě, potřebnými ochrannými funkcemi a také osobními preferencemi správce a jeho touhou pohrávat si s nastavením. Snort má delší historii a je lépe zdokumentován, i když informace o Suricatě lze také snadno najít online. V každém případě pro zvládnutí systému budete muset vynaložit určité úsilí, které se nakonec vyplatí - komerční hardware a hardwarově-softwarové IDS / IPS jsou poměrně drahé a ne vždy se vejdou do rozpočtu. Stráveného času byste neměli litovat, protože dobrý správce si vždy zvyšuje kvalifikaci na úkor zaměstnavatele. V této situaci vyhrává každý. V příštím článku se podíváme na některé možnosti nasazení Suricaty a porovnáme modernější systém s klasickým IDS/IPS Snortem v praxi.
Zdroj: www.habr.com