Un tro, roedd wal dân gyffredin a rhaglenni gwrth-firws yn ddigon i amddiffyn y rhwydwaith lleol, ond nid yw set o'r fath bellach yn ddigon effeithiol yn erbyn ymosodiadau hacwyr modern a'r meddalwedd maleisus sydd wedi cynyddu'n ddiweddar. Mae'r hen wal dân dda yn dadansoddi penawdau pecynnau yn unig, gan eu pasio neu eu rhwystro yn unol â set o reolau ffurfiol. Nid yw'n gwybod dim am gynnwys y pecynnau, ac felly ni all gydnabod gweithredoedd allanol cyfreithlon tresmaswyr. Nid yw rhaglenni gwrth-firws bob amser yn dal malware, felly mae'r gweinyddwr yn wynebu'r dasg o fonitro gweithgaredd afreolaidd ac ynysu gwesteiwyr heintiedig mewn modd amserol.
Mae yna lawer o offer datblygedig sy'n eich galluogi i amddiffyn seilwaith TG y cwmni. Heddiw, byddwn yn siarad am systemau canfod ac atal ymyrraeth ffynhonnell agored y gellir eu gweithredu heb brynu trwyddedau caledwedd a meddalwedd drud.
Dosbarthiad IDS/IPS
Mae IDS (System Canfod Ymyrraeth) yn system a gynlluniwyd i gofrestru gweithgareddau amheus ar rwydwaith neu ar gyfrifiadur ar wahân. Mae'n cynnal logiau digwyddiadau ac yn hysbysu'r person sy'n gyfrifol am ddiogelwch gwybodaeth amdanynt. Mae'r IDS yn cynnwys yr elfennau canlynol:
- synwyryddion ar gyfer gwylio traffig rhwydwaith, logiau amrywiol, ac ati.
- is-system ddadansoddi sy'n canfod arwyddion o effeithiau niweidiol yn y data a dderbyniwyd;
- storio ar gyfer cronni digwyddiadau cynradd a chanlyniadau dadansoddi;
- consol rheoli.
I ddechrau, dosbarthwyd IDS yn ôl lleoliad: gallent fod yn canolbwyntio ar ddiogelu nodau unigol (sy'n seiliedig ar westeiwr neu System Canfod Ymyrraeth Host - HIDS) neu amddiffyn y rhwydwaith corfforaethol cyfan (seiliedig ar rwydwaith neu System Canfod Ymyrraeth Rhwydwaith - NIDS). Mae'n werth sôn am yr hyn a elwir. APIDS (IDS seiliedig ar brotocol cais): maent yn monitro set gyfyngedig o brotocolau haen cais i ganfod ymosodiadau penodol ac nid ydynt yn dadansoddi pecynnau rhwydwaith yn ddwfn. Mae cynhyrchion o'r fath fel arfer yn debyg i ddirprwyon ac yn cael eu defnyddio i amddiffyn gwasanaethau penodol: gweinydd gwe a chymwysiadau gwe (er enghraifft, wedi'u hysgrifennu yn PHP), gweinyddwyr cronfa ddata, ac ati. Cynrychiolydd nodweddiadol o'r dosbarth hwn yw mod_security ar gyfer gweinydd gwe Apache.
Mae gennym fwy o ddiddordeb mewn NIDS cyffredinol sy'n cefnogi ystod eang o brotocolau cyfathrebu a thechnolegau dadansoddi pecynnau DPI (Archwiliad Pecyn dwfn). Maent yn monitro'r holl draffig sy'n mynd heibio, gan ddechrau o'r haen cyswllt data, ac yn canfod ystod eang o ymosodiadau rhwydwaith, yn ogystal â mynediad anawdurdodedig i wybodaeth. Yn aml mae gan systemau o'r fath bensaernïaeth ddosbarthedig a gallant ryngweithio ag amrywiol offer rhwydwaith gweithredol. Sylwch fod llawer o NIDS modern yn hybrid ac yn cyfuno sawl dull. Yn dibynnu ar y ffurfweddiad a'r gosodiadau, gallant ddatrys problemau amrywiol - er enghraifft, amddiffyn un nod neu'r rhwydwaith cyfan. Yn ogystal, cymerwyd swyddogaethau IDS ar gyfer gweithfannau gan becynnau gwrth-firws, a oedd, oherwydd lledaeniad Trojans gyda'r nod o ddwyn gwybodaeth, wedi troi'n waliau tân amlswyddogaethol sydd hefyd yn datrys y tasgau o adnabod a rhwystro traffig amheus.
I ddechrau, dim ond gweithgaredd malware, sganwyr porthladdoedd, neu, dyweder, troseddau defnyddwyr o bolisïau diogelwch corfforaethol y gallai IDS eu canfod. Pan ddigwyddodd digwyddiad penodol, fe wnaethant hysbysu'r gweinyddwr, ond daeth yn amlwg yn gyflym nad oedd cydnabod yr ymosodiad yn ddigon - roedd angen ei rwystro. Felly trawsnewidiodd IDS yn IPS (Systemau Atal Ymyrraeth) - systemau atal ymyrraeth sy'n gallu rhyngweithio â waliau tân.
Dulliau canfod
Mae datrysiadau canfod ac atal ymyrraeth modern yn defnyddio gwahanol ddulliau i ganfod gweithgaredd maleisus, y gellir eu rhannu'n dri chategori. Mae hyn yn rhoi opsiwn arall i ni ar gyfer dosbarthu systemau:
- Mae IDS/IPS sy'n seiliedig ar lofnod yn chwilio am batrymau mewn traffig neu'n monitro newidiadau i gyflwr systemau i ganfod ymosodiad rhwydwaith neu ymgais i haint. Yn ymarferol nid ydynt yn rhoi cam-danau a chadarnhaol ffug, ond ni allant ganfod bygythiadau anhysbys;
- Nid yw IDSs sy'n canfod anghysondebau yn defnyddio llofnodion ymosodiad. Maent yn adnabod ymddygiad annormal systemau gwybodaeth (gan gynnwys anomaleddau mewn traffig rhwydwaith) a gallant ganfod hyd yn oed ymosodiadau anhysbys. Mae systemau o'r fath yn rhoi cryn dipyn o bethau cadarnhaol ffug ac, os cânt eu defnyddio'n anghywir, maent yn parlysu gweithrediad y rhwydwaith lleol;
- Mae IDSs seiliedig ar reolau yn gweithio fel: os FFAITH yna ACTION. Mewn gwirionedd, mae'r rhain yn systemau arbenigol gyda seiliau gwybodaeth - set o ffeithiau a rheolau casglu. Mae datrysiadau o'r fath yn cymryd llawer o amser i'w sefydlu ac yn ei gwneud yn ofynnol i'r gweinyddwr feddu ar ddealltwriaeth fanwl o'r rhwydwaith.
Hanes datblygiad IDS
Dechreuodd cyfnod datblygiad cyflym y Rhyngrwyd a rhwydweithiau corfforaethol yn 90au'r ganrif ddiwethaf, fodd bynnag, roedd arbenigwyr wedi'u drysu gan dechnolegau diogelwch rhwydwaith datblygedig ychydig yn gynharach. Ym 1986, cyhoeddodd Dorothy Denning a Peter Neumann fodel IDES (System arbenigol canfod ymyrraeth), a ddaeth yn sail i'r rhan fwyaf o systemau canfod ymyrraeth modern. Defnyddiodd system arbenigol i nodi ymosodiadau hysbys, yn ogystal â dulliau ystadegol a phroffiliau defnyddwyr/system. Roedd IDES yn rhedeg ar weithfannau Sun, gan wirio traffig rhwydwaith a data cymwysiadau. Ym 1993, rhyddhawyd NIDES (System Arbenigwr Canfod Ymyrraeth cenhedlaeth nesaf) - system arbenigol canfod ymyrraeth cenhedlaeth newydd.
Yn seiliedig ar waith Denning a Neumann, ymddangosodd system arbenigol MIDAS (System canfod a rhybuddio ymwthiad aml-ymwthiad) ym 1988, gan ddefnyddio P-BEST a LISP. Ar yr un pryd, crëwyd system Haystack yn seiliedig ar ddulliau ystadegol. Datblygwyd synhwyrydd anomaledd ystadegol arall, W&S (Wisdom & Sense), flwyddyn yn ddiweddarach yn Labordy Cenedlaethol Los Alamos. Aeth datblygiad y diwydiant ymlaen yn gyflym. Er enghraifft, ym 1990, roedd canfod anomaleddau eisoes ar waith yn y system TIM (Peiriant anwythol ar sail amser) gan ddefnyddio dysgu anwythol ar batrymau defnyddwyr dilyniannol (Iaith LISP Gyffredin). Cymharodd NSM (Network Security Monitor) fatricsau mynediad ar gyfer canfod anomaleddau, a chefnogodd ISOA (Cynorthwyydd Swyddog Diogelwch Gwybodaeth) amrywiol strategaethau canfod: dulliau ystadegol, gwirio proffil a system arbenigol. Defnyddiodd y system ComputerWatch a grëwyd yn AT & T Bell Labs ddulliau ystadegol a rheolau ar gyfer dilysu, a derbyniodd datblygwyr Prifysgol California y prototeip cyntaf o IDS dosbarthedig yn ôl ym 1991 - roedd DIDS (System canfod ymwthiad wedi'i ddosbarthu) hefyd yn arbenigwr system.
Ar y dechrau, roedd IDS yn berchnogol, ond eisoes yn 1998, y Labordy Cenedlaethol. Rhyddhaodd Lawrence yn Berkeley Bro (a ailenwyd yn Zeek yn 2018), system ffynhonnell agored sy'n defnyddio ei hiaith reolau ei hun ar gyfer dosrannu data libpcap. Ym mis Tachwedd yr un flwyddyn, ymddangosodd sniffer pecyn APE gan ddefnyddio libpcap, a gafodd ei ailenwi fis yn ddiweddarach yn Snort, ac yn ddiweddarach daeth yn IDS / IPS llawn. Ar yr un pryd, dechreuodd nifer o atebion perchnogol ymddangos.
Snort a Suricata
Mae'n well gan lawer o gwmnïau IDS/IPS ffynhonnell agored am ddim. Am gyfnod hir, ystyriwyd mai'r Snort a grybwyllwyd eisoes yw'r ateb safonol, ond erbyn hyn mae system Suricata wedi ei ddisodli. Ystyriwch eu manteision a'u hanfanteision ychydig yn fwy manwl. Mae Snort yn cyfuno manteision dull llofnod â chanfod anghysondebau amser real. Mae Suricata hefyd yn caniatáu dulliau eraill ar wahân i ganfod llofnod ymosodiad. Crëwyd y system gan grŵp o ddatblygwyr a wahanodd oddi wrth brosiect Snort ac sy'n cefnogi nodweddion IPS ers fersiwn 1.4, tra bod atal ymyrraeth yn ymddangos yn Snort yn ddiweddarach.
Y prif wahaniaeth rhwng y ddau gynnyrch poblogaidd yw gallu Suricata i ddefnyddio'r GPU ar gyfer cyfrifiadura IDS, yn ogystal â'r IPS mwy datblygedig. Cynlluniwyd y system yn wreiddiol ar gyfer aml-edau, tra bod Snort yn gynnyrch un edau. Oherwydd ei hanes hir a'i god etifeddiaeth, nid yw'n gwneud y defnydd gorau posibl o lwyfannau caledwedd aml-brosesydd / aml-graidd, tra gall Suricata drin traffig hyd at 10 Gbps ar gyfrifiaduron pwrpas cyffredinol arferol. Gallwch siarad am y tebygrwydd a'r gwahaniaethau rhwng y ddwy system am amser hir, ond er bod yr injan Suricata yn gweithio'n gyflymach, nid oes ots am sianeli nad ydynt yn rhy eang.
Opsiynau Defnyddio
Rhaid gosod IPS yn y fath fodd fel bod y system yn gallu monitro'r segmentau rhwydwaith sydd dan ei rheolaeth. Yn fwyaf aml, mae hwn yn gyfrifiadur pwrpasol, y mae un rhyngwyneb ohono yn cysylltu ar ôl y dyfeisiau ymyl ac yn “edrych” trwyddynt i rwydweithiau cyhoeddus heb eu diogelu (Rhyngrwyd). Mae rhyngwyneb IPS arall wedi'i gysylltu â mewnbwn y segment gwarchodedig fel bod yr holl draffig yn mynd trwy'r system ac yn cael ei ddadansoddi. Mewn achosion mwy cymhleth, efallai y bydd sawl segment gwarchodedig: er enghraifft, mewn rhwydweithiau corfforaethol, mae parth dadfilwrol (DMZ) yn aml yn cael ei ddyrannu gyda gwasanaethau sy'n hygyrch o'r Rhyngrwyd.
Gall IPS o'r fath atal sganio porthladdoedd neu ymosodiadau 'n Ysgrublaidd, ymelwa ar wendidau yn y gweinydd post, gweinydd gwe neu sgriptiau, yn ogystal â mathau eraill o ymosodiadau allanol. Os yw'r cyfrifiaduron ar y rhwydwaith lleol wedi'u heintio â malware, ni fydd IDS yn caniatáu iddynt gysylltu â'r gweinyddwyr botnet sydd wedi'u lleoli y tu allan. Mae amddiffyniad mwy difrifol o'r rhwydwaith mewnol yn fwyaf tebygol o fod angen cyfluniad cymhleth gyda system ddosbarthedig a switshis drud a reolir sy'n gallu adlewyrchu traffig ar gyfer rhyngwyneb IDS sy'n gysylltiedig ag un o'r porthladdoedd.
Yn aml mae rhwydweithiau corfforaethol yn destun ymosodiadau gwrthod gwasanaeth (DDoS) dosranedig. Er y gall IDSs modern ymdrin â nhw, nid yw'r opsiwn lleoli uchod o fawr o gymorth yma. Mae'r system yn cydnabod gweithgaredd maleisus ac yn rhwystro traffig annilys, ond ar gyfer hyn, rhaid i'r pecynnau fynd trwy gysylltiad Rhyngrwyd allanol a chyrraedd ei ryngwyneb rhwydwaith. Yn dibynnu ar ddwysedd yr ymosodiad, efallai na fydd y sianel trosglwyddo data yn gallu ymdopi â'r llwyth a bydd nod yr ymosodwyr yn cael ei gyflawni. Ar gyfer achosion o'r fath, rydym yn argymell defnyddio IDS ar weinydd rhithwir gyda chysylltiad Rhyngrwyd gwell hysbys. Gallwch gysylltu'r VPS â'r rhwydwaith lleol trwy VPN, ac yna bydd angen i chi ffurfweddu llwybr yr holl draffig allanol drwyddo. Yna, yn achos ymosodiad DDoS, ni fydd yn rhaid i chi yrru pecynnau trwy'r cysylltiad â'r darparwr, byddant yn cael eu rhwystro ar y gwesteiwr allanol.
Problem dewis
Mae'n anodd iawn nodi arweinydd ymhlith systemau rhydd. Mae'r dewis o IDS / IPS yn cael ei bennu gan dopoleg y rhwydwaith, y swyddogaethau amddiffyn angenrheidiol, yn ogystal â dewisiadau personol y gweinyddwr a'i awydd i chwarae â'r gosodiadau. Mae gan Snort hanes hirach ac mae wedi'i ddogfennu'n well, er ei bod yn hawdd dod o hyd i wybodaeth am Suricata ar-lein hefyd. Mewn unrhyw achos, i feistroli'r system, bydd yn rhaid i chi wneud rhai ymdrechion, a fydd yn talu ar ei ganfed yn y pen draw - mae caledwedd masnachol a meddalwedd caledwedd IDS / IPS yn eithaf drud ac nid ydynt bob amser yn ffitio i'r gyllideb. Ni ddylech ddifaru'r amser a dreulir, oherwydd mae gweinyddwr da bob amser yn gwella ei gymwysterau ar draul y cyflogwr. Yn y sefyllfa hon, mae pawb yn ennill. Yn yr erthygl nesaf, byddwn yn edrych ar rai opsiynau ar gyfer defnyddio Suricata a chymharu'r system fwy modern â'r IDS / IPS Snort clasurol yn ymarferol.
Ffynhonnell: hab.com