Früher reichten eine gewöhnliche Firewall und Antivirenprogramme aus, um ein lokales Netzwerk zu schützen, doch gegen die Angriffe moderner Hacker und die in letzter Zeit stark verbreitete Malware ist ein solches Set nicht mehr wirksam genug. Eine gute alte Firewall analysiert nur Paket-Header und lässt sie gemäß einer Reihe formaler Regeln zu oder blockiert sie. Es weiß nichts über den Inhalt der Pakete und kann daher die scheinbar legitimen Aktionen von Angreifern nicht erkennen. Da Antivirenprogramme nicht immer Malware abfangen, steht der Administrator vor der Aufgabe, ungewöhnliche Aktivitäten zu überwachen und infizierte Hosts rechtzeitig zu isolieren.
Es stehen zahlreiche fortschrittliche Tools zum Schutz der IT-Infrastruktur eines Unternehmens zur Verfügung. Heute werden wir über Open-Source-Systeme zur Erkennung und Verhinderung von Eindringlingen sprechen, die ohne den Kauf teurer Geräte und Softwarelizenzen implementiert werden können.
IDS/IPS-Klassifizierung
IDS (Intrusion Detection System) ist ein System zur Registrierung verdächtiger Aktivitäten in einem Netzwerk oder auf einem einzelnen Computer. Es führt Ereignisprotokolle und benachrichtigt den für die Informationssicherheit verantwortlichen Mitarbeiter darüber. Im Rahmen des IDS lassen sich folgende Elemente unterscheiden:
- Sensoren zum Anzeigen des Netzwerkverkehrs, verschiedener Protokolle usw.
- ein Analyse-Subsystem, das Anzeichen einer böswilligen Einflussnahme in den empfangenen Daten erkennt;
- Speicherung zur Akkumulation primärer Ereignisse und Analyseergebnisse;
- Managementkonsole.
Ursprünglich wurden IDS nach Standort klassifiziert: Sie konnten sich auf den Schutz einzelner Knoten (hostbasiert oder Host Intrusion Detection System – HIDS) oder auf den Schutz des gesamten Unternehmensnetzwerks (netzwerkbasiert oder Network Intrusion Detection System – NIDS) konzentrieren. Erwähnenswert ist das sogenannte APIDS (Application Protocol-based IDS): Sie überwachen einen begrenzten Satz von Protokollen auf Anwendungsebene, um spezifische Angriffe zu identifizieren, und führen keine tiefgreifende Analyse von Netzwerkpaketen durch. Solche Produkte ähneln normalerweise Proxys und werden zum Schutz bestimmter Dienste verwendet: eines Webservers und Webanwendungen (z. B. in PHP geschrieben), eines Datenbankservers usw. Ein typisches Beispiel für diese Klasse ist mod_security für den Apache-Webserver.
Wir sind mehr an universellen NIDS interessiert, die eine breite Palette von Kommunikationsprotokollen und DPI-Technologien (Deep Packet Inspection) unterstützen. Sie überwachen den gesamten passierenden Datenverkehr, angefangen bei der Datenverbindungsschicht, und erkennen eine Vielzahl von Netzwerkangriffen sowie Versuche des unbefugten Zugriffs auf Informationen. Oftmals verfügen solche Systeme über eine verteilte Architektur und können mit verschiedenen aktiven Netzwerkgeräten interagieren. Beachten Sie, dass viele moderne NIDS hybrid sind und mehrere Ansätze kombinieren. Je nach Konfiguration und Einstellungen können sie verschiedene Probleme lösen – beispielsweise den Schutz eines Knotens oder des gesamten Netzwerks. Darüber hinaus wurden die Funktionen von IDS für Workstations von Antivirenpaketen übernommen, die sich aufgrund der Verbreitung von Trojanern zum Diebstahl von Informationen in multifunktionale Firewalls verwandelten, die auch die Probleme der Erkennung und Blockierung von verdächtigem Datenverkehr lösen.
Ursprünglich konnte IDS nur Malware-Aktivitäten, Port-Scanner oder beispielsweise Verstöße von Benutzern gegen Unternehmenssicherheitsrichtlinien erkennen. Wenn ein bestimmtes Ereignis eintrat, benachrichtigten sie den Administrator, aber es wurde schnell klar, dass es nicht ausreichte, den Angriff einfach zu erkennen – er musste blockiert werden. Daher wurden IDS in IPS (Intrusion Prevention Systems) umgewandelt – Intrusion Prevention-Systeme, die mit Firewalls interagieren können.
Überwachungsmethoden
Moderne Lösungen zur Erkennung und Verhinderung von Eindringlingen verwenden eine Vielzahl von Methoden zur Erkennung bösartiger Aktivitäten, die in drei Kategorien unterteilt werden können. Damit haben wir eine weitere Möglichkeit, Systeme zu klassifizieren:
- Signaturbasiertes IDS/IPS erkennt Muster im Datenverkehr oder überwacht Änderungen im Systemzustand, um einen Netzwerkangriff oder Infektionsversuch zu erkennen. Sie geben praktisch keine Aussetzer und Fehlalarme ab, sind aber nicht in der Lage, unbekannte Bedrohungen zu erkennen;
- Anomalie-erkennende IDS verwenden keine Angriffssignaturen. Sie erkennen abnormales Verhalten von Informationssystemen (einschließlich Anomalien im Netzwerkverkehr) und können sogar unbekannte Angriffe erkennen. Solche Systeme liefern ziemlich viele Fehlalarme und legen bei falscher Anwendung den Betrieb des lokalen Netzwerks lahm;
- Regelbasierte IDS funktionieren nach dem Prinzip: Wenn FAKT, dann AKTION. Im Wesentlichen handelt es sich dabei um Expertensysteme mit Wissensbasen – einer Reihe von Fakten und Regeln logischer Schlussfolgerungen. Die Einrichtung solcher Lösungen ist arbeitsintensiv und erfordert vom Administrator detaillierte Kenntnisse des Netzwerks.
Geschichte der IDS-Entwicklung
Die Ära der rasanten Entwicklung des Internets und der Unternehmensnetzwerke begann in den 90er Jahren des letzten Jahrhunderts, doch schon etwas früher waren Experten über fortschrittliche Netzwerksicherheitstechnologien verwirrt. 1986 veröffentlichten Dorothy Denning und Peter Neumann das IDES-Modell (Intrusion Detection Expert System), das zur Grundlage der meisten modernen Intrusion Detection-Systeme wurde. Es nutzte ein Expertensystem zur Identifizierung bekannter Angriffstypen sowie statistische Methoden und Benutzer-/Systemprofile. IDES lief auf Sun-Workstations und untersuchte den Netzwerkverkehr und Anwendungsdaten. Im Jahr 1993 wurde NIDES (Next-generation Intrusion Detection Expert System) veröffentlicht – ein Expertensystem zur Einbrucherkennung der neuen Generation.
Basierend auf der Arbeit von Denning und Neumann erschien 1988 das Expertensystem MIDAS (Multics Intrusion Detection and Alerting System) unter Verwendung von P-BEST und LISP. Gleichzeitig entstand das auf statistischen Methoden basierende Haystack-System. Ein weiterer statistischer Anomaliedetektor, W&S (Wisdom & Sense), wurde ein Jahr später am Los Alamos National Laboratory entwickelt. Die Branche entwickelte sich rasant. Beispielsweise implementierte das TIM-System (Time-based Induction Machine) bereits 1990 die Anomalieerkennung mithilfe von induktivem Lernen auf sequentiellen Benutzermustern (Common LISP-Sprache). NSM (Network Security Monitor) verglich Zugriffsmatrizen, um Anomalien zu erkennen, und ISOA (Information Security Officer's Assistant) unterstützte verschiedene Erkennungsstrategien: statistische Methoden, Profilprüfung und Expertensystem. Das bei AT&T Bell Labs entwickelte ComputerWatch-System nutzte statistische Methoden und Regeln zur Verifizierung, und die Entwickler der University of California erhielten bereits 1991 den ersten Prototyp eines verteilten IDS – DIDS (Distributed Intrusion Detection System) war ebenfalls ein Expertensystem.
Zunächst waren IDS proprietär, doch bereits 1998 wurde das National Laboratory übernommen. Lawrence Berkeley veröffentlichte Bro (2018 in Zeek umbenannt), ein Open-Source-System, das eine proprietäre Regelsprache zur Analyse von libpcap-Daten verwendet. Im November desselben Jahres erschien der APE-Paket-Sniffer mit libpcap, der einen Monat später in Snort umbenannt wurde und später zu einem vollwertigen IDS/IPS wurde. Gleichzeitig entstanden zahlreiche proprietäre Lösungen.
Snort und Suricata
Viele Unternehmen bevorzugen kostenloses und Open-Source-IDS/IPS. Lange Zeit galt das bereits erwähnte Snort als Standardlösung, mittlerweile wurde es jedoch durch das Suricata-System abgelöst. Schauen wir uns ihre Vor- und Nachteile etwas genauer an. Snort kombiniert die Vorteile einer signaturbasierten Methode mit der Fähigkeit, Anomalien in Echtzeit zu erkennen. Mit Suricata können Sie neben der Erkennung von Angriffen anhand von Signaturen auch andere Methoden nutzen. Das System wurde von einer Gruppe von Entwicklern unabhängig vom Snort-Projekt erstellt und unterstützt IPS-Funktionen ab Version 1.4. Später führte Snort die Möglichkeit ein, Eindringlinge zu verhindern.
Der Hauptunterschied zwischen den beiden beliebten Produkten besteht in der Fähigkeit von Suricata, GPU-Computing im IDS-Modus sowie das fortschrittlichere IPS zu nutzen. Das System ist zunächst für Multi-Threading konzipiert, während Snort ein Single-Thread-Produkt ist. Aufgrund seiner langen Geschichte und seines Legacy-Codes nutzt es Multiprozessor-/Multicore-Hardwareplattformen nicht optimal aus, wohingegen Suricata Datenverkehr von bis zu 10 Gbit/s auf normalen Allzweckcomputern verarbeiten kann. Über die Gemeinsamkeiten und Unterschiede zwischen den beiden Systemen kann man noch lange reden, doch obwohl die Suricata-Engine schneller arbeitet, ist dies für nicht allzu breite Kanäle nicht von grundsätzlicher Bedeutung.
Bereitstellungsoptionen
Das IPS muss so platziert werden, dass das System die von ihm kontrollierten Netzwerksegmente überwachen kann. In den meisten Fällen handelt es sich dabei um einen dedizierten Computer, dessen eine Schnittstelle nach den Edge-Geräten angeschlossen ist und über diese in ungeschützte öffentliche Netzwerke (das Internet) „blickt“. Eine weitere IPS-Schnittstelle wird an den Eingang des geschützten Segments angeschlossen, sodass der gesamte Datenverkehr das System passiert und analysiert wird. In komplexeren Fällen kann es mehrere geschützte Segmente geben: Beispielsweise wird in Unternehmensnetzwerken häufig eine demilitarisierte Zone (DMZ) mit aus dem Internet zugänglichen Diensten zugewiesen.
Ein solches IPS kann Port-Scanning oder Passwort-Brute-Force-Angriffe, die Ausnutzung von Schwachstellen im Mailserver, Webserver oder Skripten sowie andere Arten externer Angriffe verhindern. Wenn Computer im lokalen Netzwerk mit Malware infiziert sind, erlaubt IDS ihnen nicht, Kontakt zu den Botnet-Servern außerhalb des Netzwerks aufzunehmen. Für einen ernsthafteren Schutz des internen Netzwerks ist höchstwahrscheinlich eine komplexe Konfiguration mit einem verteilten System und teuren verwalteten Switches erforderlich, die in der Lage sind, den Datenverkehr für die IDS-Schnittstelle zu spiegeln, die mit einem der Ports verbunden ist.
Unternehmensnetzwerke sind häufig Opfer von DDoS-Angriffen (Distributed Denial of Service). Obwohl moderne IDS damit umgehen können, ist die oben genannte Bereitstellungsoption hier wahrscheinlich nicht hilfreich. Das System erkennt bösartige Aktivitäten und blockiert unerwünschten Datenverkehr. Dazu müssen die Pakete jedoch eine externe Internetverbindung passieren und die Netzwerkschnittstelle erreichen. Abhängig von der Intensität des Angriffs kann es sein, dass der Datenübertragungskanal der Belastung nicht gewachsen ist und das Ziel der Angreifer erreicht wird. Für solche Fälle empfehlen wir die Bereitstellung von IDS auf einem virtuellen Server mit einer offensichtlich leistungsfähigeren Internetverbindung. Sie können den VPS über ein VPN mit dem lokalen Netzwerk verbinden und müssen dann die Weiterleitung des gesamten externen Datenverkehrs darüber konfigurieren. Dann müssen Sie im Falle eines DDoS-Angriffs keine Pakete über die Verbindung zum Provider senden, diese werden auf dem externen Knoten blockiert.
Problem der Wahl
Es ist sehr schwierig, einen Spitzenreiter unter den freien Systemen zu identifizieren. Die Wahl des IDS/IPS richtet sich nach der Netzwerktopologie, den erforderlichen Sicherheitsfunktionen sowie den persönlichen Vorlieben des Administrators und seinem Wunsch, an den Einstellungen herumzubasteln. Snort hat eine längere Geschichte und ist besser dokumentiert, obwohl Informationen über Suricata auch online leicht zu finden sind. Um das System zu beherrschen, müssen Sie in jedem Fall einige Anstrengungen unternehmen, die sich letztendlich auszahlen werden – kommerzielle Hardware und Hardware-Software-IDS/IPS sind recht teuer und passen nicht immer in das Budget. Es hat keinen Sinn, die verschwendete Zeit zu bereuen, denn ein guter Administrator verbessert seine Fähigkeiten immer auf Kosten des Arbeitgebers. In dieser Situation gewinnen alle. Im nächsten Artikel schauen wir uns einige Einsatzmöglichkeiten von Suricata an und vergleichen ein moderneres System mit dem klassischen IDS/IPS Snort in der Praxis.
Source: habr.com