Κάποτε, ένα συνηθισμένο τείχος προστασίας και προγράμματα προστασίας από ιούς ήταν αρκετά για την προστασία του τοπικού δικτύου, αλλά ένα τέτοιο σύνολο δεν είναι πλέον αρκετά αποτελεσματικό ενάντια στις επιθέσεις των σύγχρονων χάκερ και στο κακόβουλο λογισμικό που έχει πολλαπλασιαστεί πρόσφατα. Το παλιό καλό τείχος προστασίας αναλύει μόνο κεφαλίδες πακέτων, περνώντας ή αποκλείοντάς τα σύμφωνα με ένα σύνολο επίσημων κανόνων. Δεν γνωρίζει τίποτα για το περιεχόμενο των πακέτων και επομένως δεν μπορεί να αναγνωρίσει τις εξωτερικά νόμιμες ενέργειες των εισβολέων. Τα προγράμματα προστασίας από ιούς δεν εντοπίζουν πάντα κακόβουλο λογισμικό, επομένως ο διαχειριστής αντιμετωπίζει το καθήκον να παρακολουθεί την ανώμαλη δραστηριότητα και να απομονώνει τους μολυσμένους κεντρικούς υπολογιστές εγκαίρως.
Υπάρχουν πολλά προηγμένα εργαλεία που σας επιτρέπουν να προστατεύσετε την υποδομή πληροφορικής της εταιρείας. Σήμερα θα μιλήσουμε για συστήματα ανίχνευσης και πρόληψης εισβολών ανοιχτού κώδικα που μπορούν να εφαρμοστούν χωρίς την αγορά ακριβών αδειών υλικού και λογισμικού.
Ταξινόμηση IDS/IPS
Το IDS (Intrusion Detection System) είναι ένα σύστημα που έχει σχεδιαστεί για την καταγραφή ύποπτων δραστηριοτήτων σε ένα δίκτυο ή σε έναν ξεχωριστό υπολογιστή. Διατηρεί αρχεία καταγραφής συμβάντων και ειδοποιεί σχετικά τον υπάλληλο που είναι υπεύθυνος για την ασφάλεια των πληροφοριών. Το IDS περιλαμβάνει τα ακόλουθα στοιχεία:
- αισθητήρες για την προβολή της κυκλοφορίας του δικτύου, διάφορα αρχεία καταγραφής κ.λπ.
- ένα υποσύστημα ανάλυσης που ανιχνεύει σημάδια επιβλαβών επιπτώσεων στα δεδομένα που λαμβάνονται·
- αποθήκευση για συσσώρευση πρωταρχικών γεγονότων και αποτελεσμάτων ανάλυσης.
- κονσόλα διαχείρισης.
Αρχικά, τα IDS ταξινομήθηκαν κατά τοποθεσία: θα μπορούσαν να εστιαστούν στην προστασία μεμονωμένων κόμβων (βασισμένο σε κεντρικό υπολογιστή ή Σύστημα ανίχνευσης εισβολής κεντρικού υπολογιστή - HIDS) ή στην προστασία ολόκληρου του εταιρικού δικτύου (σύστημα ανίχνευσης εισβολής δικτύου - NIDS). Αξίζει να αναφέρουμε το λεγόμενο. APIDS (Application protocol-based IDS): παρακολουθούν ένα περιορισμένο σύνολο πρωτοκόλλων επιπέδου εφαρμογής για τον εντοπισμό συγκεκριμένων επιθέσεων και δεν αναλύουν σε βάθος πακέτα δικτύου. Τέτοια προϊόντα συνήθως μοιάζουν με διακομιστές μεσολάβησης και χρησιμοποιούνται για την προστασία συγκεκριμένων υπηρεσιών: διακομιστές ιστού και εφαρμογές Ιστού (για παράδειγμα, γραμμένες σε PHP), διακομιστές βάσεων δεδομένων κ.λπ. Ένας τυπικός εκπρόσωπος αυτής της κλάσης είναι το mod_security για τον διακομιστή ιστού Apache.
Μας ενδιαφέρουν περισσότερο τα καθολικά NIDS που υποστηρίζουν ένα ευρύ φάσμα πρωτοκόλλων επικοινωνίας και τεχνολογίες ανάλυσης πακέτων DPI (Deep Packet Inspection). Παρακολουθούν όλη τη διερχόμενη κίνηση, ξεκινώντας από το επίπεδο σύνδεσης δεδομένων, και εντοπίζουν ένα ευρύ φάσμα επιθέσεων δικτύου, καθώς και μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες. Συχνά τέτοια συστήματα έχουν κατανεμημένη αρχιτεκτονική και μπορούν να αλληλεπιδρούν με διάφορους ενεργούς εξοπλισμούς δικτύου. Σημειώστε ότι πολλά σύγχρονα NIDS είναι υβριδικά και συνδυάζουν διάφορες προσεγγίσεις. Ανάλογα με τη διαμόρφωση και τις ρυθμίσεις, μπορούν να λύσουν διάφορα προβλήματα - για παράδειγμα, την προστασία ενός κόμβου ή ολόκληρου του δικτύου. Επιπλέον, οι λειτουργίες IDS για σταθμούς εργασίας ανελήφθησαν από πακέτα προστασίας από ιούς, τα οποία, λόγω της διάδοσης Trojans που στόχευαν στην κλοπή πληροφοριών, μετατράπηκαν σε πολυλειτουργικά τείχη προστασίας που επιλύουν επίσης τις εργασίες αναγνώρισης και αποκλεισμού ύποπτης κυκλοφορίας.
Αρχικά, το IDS μπορούσε να ανιχνεύσει μόνο δραστηριότητα κακόβουλου λογισμικού, σαρωτές θυρών ή, ας πούμε, παραβιάσεις των εταιρικών πολιτικών ασφάλειας από τους χρήστες. Όταν συνέβη ένα συγκεκριμένο συμβάν, ειδοποίησαν τον διαχειριστή, αλλά γρήγορα έγινε σαφές ότι η απλή αναγνώριση της επίθεσης δεν ήταν αρκετή - έπρεπε να αποκλειστεί. Έτσι το IDS μετατράπηκε σε IPS (Intrusion Prevention Systems) - συστήματα πρόληψης εισβολής που μπορούν να αλληλεπιδράσουν με τείχη προστασίας.
Μέθοδοι ανίχνευσης
Οι σύγχρονες λύσεις ανίχνευσης και πρόληψης εισβολών χρησιμοποιούν διάφορες μεθόδους για τον εντοπισμό κακόβουλης δραστηριότητας, οι οποίες μπορούν να χωριστούν σε τρεις κατηγορίες. Αυτό μας δίνει μια άλλη επιλογή για την ταξινόμηση συστημάτων:
- Το IDS/IPS που βασίζεται σε υπογραφές αναζητά μοτίβα στην κυκλοφορία ή παρακολουθεί τις αλλαγές κατάστασης του συστήματος για να ανιχνεύσει μια επίθεση δικτύου ή απόπειρα μόλυνσης. Πρακτικά δεν δίνουν σφάλματα και ψευδώς θετικά στοιχεία, αλλά δεν είναι σε θέση να ανιχνεύσουν άγνωστες απειλές.
- Τα IDS που ανιχνεύουν ανωμαλίες δεν χρησιμοποιούν υπογραφές επίθεσης. Αναγνωρίζουν την ανώμαλη συμπεριφορά των συστημάτων πληροφοριών (συμπεριλαμβανομένων των ανωμαλιών στην κυκλοφορία του δικτύου) και μπορούν να ανιχνεύσουν ακόμη και άγνωστες επιθέσεις. Τέτοια συστήματα δίνουν πολλά ψευδώς θετικά στοιχεία και, εάν χρησιμοποιηθούν εσφαλμένα, παραλύουν τη λειτουργία του τοπικού δικτύου.
- Τα αναγνωριστικά που βασίζονται σε κανόνες λειτουργούν ως εξής: εάν FACT τότε ACTION. Στην πραγματικότητα, πρόκειται για έμπειρα συστήματα με βάσεις γνώσεων - ένα σύνολο γεγονότων και κανόνων συμπερασμάτων. Τέτοιες λύσεις είναι χρονοβόρες για τη ρύθμιση και απαιτούν από τον διαχειριστή να έχει λεπτομερή κατανόηση του δικτύου.
Ιστορία ανάπτυξης IDS
Η εποχή της ταχείας ανάπτυξης του Διαδικτύου και των εταιρικών δικτύων ξεκίνησε τη δεκαετία του '90 του περασμένου αιώνα, ωστόσο, οι ειδικοί προβληματίστηκαν από τις προηγμένες τεχνολογίες ασφάλειας δικτύων λίγο νωρίτερα. Το 1986, η Dorothy Denning και ο Peter Neumann δημοσίευσαν το μοντέλο IDES (Intrusion detection expert system), το οποίο έγινε η βάση των πιο σύγχρονων συστημάτων ανίχνευσης εισβολής. Χρησιμοποίησε ένα έμπειρο σύστημα για τον εντοπισμό γνωστών επιθέσεων, καθώς και στατιστικές μεθόδους και προφίλ χρήστη/συστήματος. Το IDES εκτελούσε σε σταθμούς εργασίας Sun, ελέγχοντας την κίνηση δικτύου και τα δεδομένα εφαρμογών. Το 1993 κυκλοφόρησε το NIDES (Next-generation Intrusion Detection Expert System) - ένα έμπειρο σύστημα ανίχνευσης εισβολής νέας γενιάς.
Βασισμένο στην εργασία των Denning και Neumann, το έμπειρο σύστημα MIDAS (Multics intrusion detection and alerting system) εμφανίστηκε το 1988, χρησιμοποιώντας P-BEST και LISP. Παράλληλα δημιουργήθηκε το σύστημα Haystack που βασίζεται σε στατιστικές μεθόδους. Ένας άλλος ανιχνευτής στατιστικών ανωμαλιών, ο W&S (Wisdom & Sense), αναπτύχθηκε ένα χρόνο αργότερα στο Εθνικό Εργαστήριο του Λος Άλαμος. Η ανάπτυξη του κλάδου προχώρησε με γοργούς ρυθμούς. Για παράδειγμα, το 1990, το σύστημα TIM (Time-based inductive machine) εφάρμοσε ήδη ανίχνευση ανωμαλιών χρησιμοποιώντας επαγωγική μάθηση σε διαδοχικά μοτίβα χρηστών (Common LISP γλώσσα). Το NSM (Network Security Monitor) συνέκρινε πίνακες πρόσβασης για ανίχνευση ανωμαλιών και το ISOA (Information Security Officer's Assistant) υποστήριξε διάφορες στρατηγικές ανίχνευσης: στατιστικές μεθόδους, έλεγχο προφίλ και έμπειρο σύστημα. Το σύστημα ComputerWatch που δημιουργήθηκε στα AT & T Bell Labs χρησιμοποίησε στατιστικές μεθόδους και κανόνες για επαλήθευση και οι προγραμματιστές του Πανεπιστημίου της Καλιφόρνια έλαβαν το πρώτο πρωτότυπο ενός κατανεμημένου IDS το 1991 - το DIDS (Distributed Intrusion Detection System) ήταν επίσης ειδικός Σύστημα.
Στην αρχή, τα IDS ήταν ιδιόκτητα, αλλά ήδη το 1998, το Εθνικό Εργαστήριο. Ο Lawrence στο Berkeley κυκλοφόρησε το Bro (μετονομάστηκε Zeek το 2018), ένα σύστημα ανοιχτού κώδικα που χρησιμοποιεί τη δική του γλώσσα κανόνων για την ανάλυση των δεδομένων libpcap. Τον Νοέμβριο του ίδιου έτους, εμφανίστηκε το sniffer πακέτων APE χρησιμοποιώντας libpcap, το οποίο ένα μήνα αργότερα μετονομάστηκε σε Snort και αργότερα έγινε πλήρες IDS / IPS. Ταυτόχρονα, άρχισαν να εμφανίζονται πολυάριθμες ιδιόκτητες λύσεις.
Snort και Suricata
Πολλές εταιρείες προτιμούν δωρεάν και ανοιχτού κώδικα IDS/IPS. Για πολύ καιρό, το ήδη αναφερθέν Snort θεωρούνταν η τυπική λύση, αλλά τώρα έχει αντικατασταθεί από το σύστημα Suricata. Εξετάστε τα πλεονεκτήματα και τα μειονεκτήματά τους με λίγο περισσότερες λεπτομέρειες. Το Snort συνδυάζει τα οφέλη μιας μεθόδου υπογραφής με την ανίχνευση ανωμαλιών σε πραγματικό χρόνο. Το Suricata επιτρέπει επίσης άλλες μεθόδους εκτός από τον εντοπισμό υπογραφής επίθεσης. Το σύστημα δημιουργήθηκε από μια ομάδα προγραμματιστών που αποσχίστηκαν από το έργο Snort και υποστηρίζει λειτουργίες IPS από την έκδοση 1.4, ενώ η πρόληψη εισβολής εμφανίστηκε αργότερα στο Snort.
Η κύρια διαφορά μεταξύ των δύο δημοφιλών προϊόντων είναι η ικανότητα της Suricata να χρησιμοποιεί την GPU για υπολογιστές IDS, καθώς και το πιο προηγμένο IPS. Το σύστημα σχεδιάστηκε αρχικά για πολλαπλές κλωστές, ενώ το Snort είναι ένα προϊόν με ένα σπείρωμα. Λόγω της μακρόχρονης ιστορίας του και του κληροδοτημένου κώδικα, δεν κάνει βέλτιστη χρήση πλατφορμών υλικού πολλαπλών επεξεργαστών/πολλαπλών πυρήνων, ενώ το Suricata μπορεί να διαχειριστεί κίνηση έως και 10 Gbps σε κανονικούς υπολογιστές γενικής χρήσης. Μπορείτε να μιλήσετε για τις ομοιότητες και τις διαφορές μεταξύ των δύο συστημάτων για μεγάλο χρονικό διάστημα, αλλά παρόλο που ο κινητήρας Suricata λειτουργεί πιο γρήγορα, για όχι πολύ μεγάλα κανάλια δεν έχει σημασία.
Επιλογές ανάπτυξης
Το IPS πρέπει να τοποθετηθεί με τέτοιο τρόπο ώστε το σύστημα να μπορεί να παρακολουθεί τα τμήματα δικτύου που βρίσκονται υπό τον έλεγχό του. Τις περισσότερες φορές, αυτός είναι ένας αποκλειστικός υπολογιστής, η μία διεπαφή του οποίου συνδέεται μετά τις συσκευές ακμής και «κοιτάει» μέσω αυτών σε μη ασφαλή δημόσια δίκτυα (Διαδίκτυο). Μια άλλη διεπαφή IPS συνδέεται με την είσοδο του προστατευμένου τμήματος, έτσι ώστε όλη η κίνηση να περνά μέσα από το σύστημα και να αναλύεται. Σε πιο περίπλοκες περιπτώσεις, μπορεί να υπάρχουν πολλά προστατευμένα τμήματα: για παράδειγμα, στα εταιρικά δίκτυα, μια αποστρατιωτικοποιημένη ζώνη (DMZ) εκχωρείται συχνά με υπηρεσίες προσβάσιμες από το Διαδίκτυο.
Ένα τέτοιο IPS μπορεί να αποτρέψει επιθέσεις σάρωσης θυρών ή ωμής βίας, την εκμετάλλευση ευπαθειών στον διακομιστή αλληλογραφίας, τον διακομιστή web ή τα σενάρια, καθώς και άλλους τύπους εξωτερικών επιθέσεων. Εάν οι υπολογιστές στο τοπικό δίκτυο έχουν μολυνθεί με κακόβουλο λογισμικό, το IDS δεν θα τους επιτρέψει να επικοινωνήσουν με τους διακομιστές botnet που βρίσκονται έξω. Η πιο σοβαρή προστασία του εσωτερικού δικτύου θα απαιτήσει πιθανότατα μια πολύπλοκη διαμόρφωση με ένα κατανεμημένο σύστημα και ακριβούς διαχειριζόμενους διακόπτες ικανούς να αντικατοπτρίζουν την κυκλοφορία για μια διεπαφή IDS συνδεδεμένη σε μία από τις θύρες.
Συχνά τα εταιρικά δίκτυα υπόκεινται σε κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS). Αν και τα σύγχρονα IDS μπορούν να τα αντιμετωπίσουν, η παραπάνω επιλογή ανάπτυξης δεν βοηθάει καθόλου εδώ. Το σύστημα αναγνωρίζει την κακόβουλη δραστηριότητα και αποκλείει την ψευδή κυκλοφορία, αλλά για αυτό, τα πακέτα πρέπει να περάσουν από μια εξωτερική σύνδεση στο Διαδίκτυο και να φτάσουν στη διεπαφή δικτύου του. Ανάλογα με την ένταση της επίθεσης, το κανάλι μετάδοσης δεδομένων μπορεί να μην είναι σε θέση να αντιμετωπίσει το φορτίο και ο στόχος των επιτιθέμενων θα επιτευχθεί. Για τέτοιες περιπτώσεις, συνιστούμε την ανάπτυξη IDS σε έναν εικονικό διακομιστή με γνωστή καλύτερη σύνδεση στο διαδίκτυο. Μπορείτε να συνδέσετε το VPS στο τοπικό δίκτυο μέσω ενός VPN και, στη συνέχεια, θα χρειαστεί να διαμορφώσετε τη δρομολόγηση όλης της εξωτερικής κίνησης μέσω αυτού. Στη συνέχεια, σε περίπτωση επίθεσης DDoS, δεν θα χρειαστεί να οδηγήσετε πακέτα μέσω της σύνδεσης με τον πάροχο, αλλά θα αποκλειστούν στον εξωτερικό κεντρικό υπολογιστή.
Πρόβλημα επιλογής
Είναι πολύ δύσκολο να εντοπιστεί ένας ηγέτης μεταξύ των ελεύθερων συστημάτων. Η επιλογή IDS / IPS καθορίζεται από την τοπολογία του δικτύου, τις απαραίτητες λειτουργίες προστασίας, καθώς και τις προσωπικές προτιμήσεις του διαχειριστή και την επιθυμία του να ασχοληθεί με τις ρυθμίσεις. Το Snort έχει μεγαλύτερη ιστορία και είναι καλύτερα τεκμηριωμένο, αν και πληροφορίες για το Suricata είναι επίσης εύκολο να βρεθούν στο διαδίκτυο. Σε κάθε περίπτωση, για να κυριαρχήσετε το σύστημα, θα πρέπει να κάνετε κάποιες προσπάθειες, οι οποίες τελικά θα αποδώσουν - το εμπορικό υλικό και το υλικό-λογισμικό IDS / IPS είναι αρκετά ακριβά και δεν ταιριάζουν πάντα στον προϋπολογισμό. Δεν πρέπει να μετανιώνετε για τον χρόνο που αφιερώσατε, γιατί ένας καλός διαχειριστής βελτιώνει πάντα τα προσόντα του σε βάρος του εργοδότη. Σε αυτή την κατάσταση, όλοι κερδίζουν. Στο επόμενο άρθρο, θα δούμε μερικές επιλογές για την ανάπτυξη του Suricata και θα συγκρίνουμε το πιο σύγχρονο σύστημα με το κλασικό IDS/IPS Snort στην πράξη.
Πηγή: www.habr.com