Engang var en almindelig firewall og antivirusprogrammer nok til at beskytte det lokale netværk, men sådan et sæt er ikke længere effektivt nok mod angreb fra moderne hackere og den malware, der for nylig har spredt sig. Den gode gamle firewall analyserer kun pakkeoverskrifter, sender eller blokerer dem i overensstemmelse med et sæt formelle regler. Den ved ikke noget om indholdet af pakkerne, og kan derfor ikke genkende ubudne gæsters udadtil legitime handlinger. Antivirusprogrammer fanger ikke altid malware, så administratoren står over for opgaven med at overvåge unormal aktivitet og isolere inficerede værter rettidigt.
Der findes mange avancerede værktøjer, der giver dig mulighed for at beskytte virksomhedens it-infrastruktur. I dag vil vi tale om open source-indtrængningsdetektions- og forebyggelsessystemer, der kan implementeres uden at købe dyre hardware- og softwarelicenser.
IDS/IPS klassifikation
IDS (Intrusion Detection System) er et system designet til at registrere mistænkelige aktiviteter på et netværk eller på en separat computer. Det vedligeholder hændelseslogfiler og underretter den ansvarlige for informationssikkerhed om dem. IDS indeholder følgende elementer:
- sensorer til visning af netværkstrafik, diverse logfiler mv.
- et analyseundersystem, der detekterer tegn på skadelige virkninger i de modtagne data;
- opbevaring til akkumulering af primære hændelser og analyseresultater;
- ledelseskonsol.
Oprindeligt blev IDS klassificeret efter placering: de kunne fokusere på at beskytte individuelle noder (værtsbaseret eller Host Intrusion Detection System - HIDS) eller at beskytte hele virksomhedens netværk (netværksbaseret eller Network Intrusion Detection System - NIDS). Det er værd at nævne den såkaldte. APIDS (Application Protocol-based IDS): de overvåger et begrænset sæt applikationslagsprotokoller for at detektere specifikke angreb og analyserer ikke netværkspakker i dybden. Sådanne produkter ligner normalt proxyer og bruges til at beskytte specifikke tjenester: webserver og webapplikationer (for eksempel skrevet i PHP), databaseservere osv. En typisk repræsentant for denne klasse er mod_security til Apache-webserveren.
Vi er mere interesserede i universelle NIDS, der understøtter en bred vifte af kommunikationsprotokoller og DPI (Deep Packet Inspection) pakkeanalyseteknologier. De overvåger al forbipasserende trafik, startende fra datalinklaget, og registrerer en lang række netværksangreb samt uautoriseret adgang til information. Ofte har sådanne systemer en distribueret arkitektur og kan interagere med forskelligt aktivt netværksudstyr. Bemærk, at mange moderne NIDS er hybride og kombinerer flere tilgange. Afhængigt af konfigurationen og indstillingerne kan de løse forskellige problemer - for eksempel at beskytte en node eller hele netværket. Derudover blev IDS-funktioner til arbejdsstationer overtaget af antiviruspakker, som på grund af spredningen af trojanske heste med det formål at stjæle information blev til multifunktionelle firewalls, der også løser opgaverne med at genkende og blokere mistænkelig trafik.
I første omgang kunne IDS kun opdage malware-aktivitet, portscannere eller f.eks. brugerovertrædelser af virksomhedens sikkerhedspolitikker. Da en bestemt hændelse indtraf, underrettede de administratoren, men det blev hurtigt klart, at det ikke var nok at genkende angrebet – det skulle blokeres. Så IDS omdannet til IPS (Intrusion Prevention Systems) – indtrængningsforebyggende systemer, der kan interagere med firewalls.
Detektionsmetoder
Moderne indtrængningsdetektions- og forebyggelsesløsninger bruger forskellige metoder til at opdage ondsindet aktivitet, som kan opdeles i tre kategorier. Dette giver os en anden mulighed for at klassificere systemer:
- Signaturbaseret IDS/IPS leder efter mønstre i trafikken eller overvåg systemtilstandsændringer for at detektere et netværksangreb eller infektionsforsøg. De giver praktisk talt ikke fejltændinger og falske positiver, men er ikke i stand til at opdage ukendte trusler;
- Anomali-detekterende IDS'er bruger ikke angrebssignaturer. De genkender unormal opførsel af informationssystemer (herunder uregelmæssigheder i netværkstrafikken) og kan opdage selv ukendte angreb. Sådanne systemer giver ret mange falske positiver og, hvis de bruges forkert, lammer driften af det lokale netværk;
- Regelbaserede IDS'er fungerer som: hvis FAKTA så HANDLING. Faktisk er der tale om ekspertsystemer med vidensbaser – et sæt fakta og slutningsregler. Sådanne løsninger er tidskrævende at sætte op og kræver, at administratoren har en detaljeret forståelse af netværket.
Historien om IDS-udvikling
Tiden med hurtig udvikling af internettet og virksomhedsnetværk begyndte i 90'erne af det sidste århundrede, men eksperter blev forvirrede over avancerede netværkssikkerhedsteknologier lidt tidligere. I 1986 udgav Dorothy Denning og Peter Neumann IDES-modellen (Intrusion detection expert system), som blev grundlaget for de fleste moderne intrusion detection-systemer. Hun brugte et ekspertsystem til at identificere kendte angreb, samt statistiske metoder og bruger/systemprofiler. IDES kørte på Sun-arbejdsstationer og tjekkede netværkstrafik og applikationsdata. I 1993 blev NIDES (Next-generation Intrusion Detection Expert System) frigivet - en ny generation af intrusion detection expert system.
Baseret på Denning og Neumanns arbejde dukkede MIDAS (Multics intrusion detection and alerting system) ekspertsystemet op i 1988, ved hjælp af P-BEST og LISP. Samtidig blev Haystack-systemet baseret på statistiske metoder skabt. En anden statistisk anomalidetektor, W&S (Wisdom & Sense), blev udviklet et år senere på Los Alamos National Laboratory. Udviklingen af branchen forløb i et stærkt tempo. For eksempel var anomalidetektion allerede i 1990 implementeret i TIM-systemet (Time-based inductive machine) ved hjælp af induktiv læring på sekventielle brugermønstre (Common LISP language). NSM (Network Security Monitor) sammenlignede adgangsmatricer til anomalidetektion, og ISOA (Information Security Officer's Assistant) understøttede forskellige detektionsstrategier: statistiske metoder, profilkontrol og ekspertsystem. ComputerWatch-systemet skabt hos AT & T Bell Labs brugte både statistiske metoder og regler til verifikation, og udviklerne af University of California modtog den første prototype af en distribueret IDS tilbage i 1991 - DIDS (Distributed intrusion detection system) var også en ekspert system.
I første omgang var IDS proprietære, men allerede i 1998, National Laboratory. Lawrence hos Berkeley udgav Bro (omdøbt Zeek i 2018), et open source-system, der bruger sit eget regelsprog til at analysere libpcap-data. I november samme år dukkede APE-pakkesnifferen op med libpcap, som en måned senere blev omdøbt til Snort, og senere blev en fuldgyldig IDS/IPS. Samtidig begyndte adskillige proprietære løsninger at dukke op.
Snort og Suricata
Mange virksomheder foretrækker gratis og open source IDS/IPS. I lang tid blev den allerede nævnte Snort betragtet som standardløsningen, men nu er den erstattet af Suricata-systemet. Overvej deres fordele og ulemper lidt mere detaljeret. Snort kombinerer fordelene ved en signaturmetode med anomalidetektion i realtid. Suricata tillader også andre metoder udover registrering af angrebssignatur. Systemet blev oprettet af en gruppe udviklere, som er skilt fra Snort-projektet og understøtter IPS-funktioner siden version 1.4, mens indtrængenforebyggelse dukkede op i Snort senere.
Den væsentligste forskel mellem de to populære produkter er Suricatas evne til at bruge GPU'en til IDS computing, samt den mere avancerede IPS. Systemet er oprindeligt designet til multi-threading, mens Snort er et enkelt-threaded produkt. På grund af sin lange historie og ældre kode gør den ikke optimal brug af multi-processor/multi-core hardwareplatforme, mens Suricata kan håndtere trafik op til 10 Gbps på normale almindelige computere. Man kan tale om lighederne og forskellene mellem de to systemer i lang tid, men selvom Suricata-motoren virker hurtigere, er det ikke ligegyldigt for ikke for brede kanaler.
Implementeringsmuligheder
IPS skal placeres på en sådan måde, at systemet kan overvåge netværkssegmenterne under dets kontrol. Oftest er dette en dedikeret computer, hvoraf den ene grænseflade forbinder efter edge-enhederne og "kigger" igennem dem til usikrede offentlige netværk (internet). Et andet IPS-interface er forbundet til indgangen på det beskyttede segment, så al trafik passerer gennem systemet og analyseres. I mere komplekse tilfælde kan der være flere beskyttede segmenter: for eksempel i virksomhedsnetværk er en demilitariseret zone (DMZ) ofte tildelt tjenester, der er tilgængelige fra internettet.
En sådan IPS kan forhindre portscanning eller brute-force-angreb, udnyttelse af sårbarheder i mailserveren, webserveren eller scripts samt andre typer eksterne angreb. Hvis computerne på det lokale netværk er inficeret med malware, vil IDS ikke tillade dem at kontakte botnet-serverne placeret udenfor. Mere seriøs beskyttelse af det interne netværk vil højst sandsynligt kræve en kompleks konfiguration med et distribueret system og dyre administrerede switches, der er i stand til at spejle trafik for et IDS-interface, der er forbundet til en af portene.
Ofte er virksomhedsnetværk udsat for distribuerede denial-of-service (DDoS)-angreb. Selvom moderne IDS'er kan håndtere dem, er implementeringsmuligheden ovenfor til lidt hjælp her. Systemet genkender ondsindet aktivitet og blokerer falsk trafik, men til dette skal pakkerne gå gennem en ekstern internetforbindelse og nå dens netværksgrænseflade. Afhængigt af intensiteten af angrebet kan datatransmissionskanalen muligvis ikke klare belastningen, og angribernes mål vil blive nået. I sådanne tilfælde anbefaler vi at implementere IDS på en virtuel server med en kendt bedre internetforbindelse. Du kan forbinde VPS'en til det lokale netværk gennem en VPN, og derefter skal du konfigurere routingen af al ekstern trafik gennem den. Så skal du i tilfælde af et DDoS-angreb ikke køre pakker gennem forbindelsen til udbyderen, de vil blive blokeret på den eksterne vært.
Problemer med valg
Det er meget svært at identificere en leder blandt gratis systemer. Valget af IDS / IPS bestemmes af netværkstopologien, de nødvendige beskyttelsesfunktioner samt administratorens personlige præferencer og hans ønske om at fifle med indstillingerne. Snort har en længere historie og er bedre dokumenteret, selvom information om Suricata også er let at finde online. Under alle omstændigheder, for at mestre systemet, bliver du nødt til at gøre nogle anstrengelser, som i sidste ende vil betale sig - kommerciel hardware og hardware-software IDS / IPS er ret dyre og passer ikke altid ind i budgettet. Du skal ikke fortryde tidsforbruget, for en god administrator forbedrer altid sine kvalifikationer på bekostning af arbejdsgiveren. I denne situation vinder alle. I den næste artikel vil vi se på nogle muligheder for at implementere Suricata og sammenligne det mere moderne system med det klassiske IDS/IPS Snort i praksis.
Kilde: www.habr.com