Iam sufiĉis ordinara fajroŝirmilo kaj kontraŭvirusaj programoj por protekti la lokan reton, sed tia aro ne plu estas sufiĉe efika kontraŭ la atakoj de modernaj hakistoj kaj la lastatempe multobliĝintaj malware. La bona malnova fajroŝirmilo analizas nur pakajn kapliniojn, pasante aŭ blokante ilin laŭ aro de formalaj reguloj. Ĝi scias nenion pri la enhavo de la pakaĵoj, kaj tial ne povas rekoni la ekstere legitimajn agojn de entrudiĝintoj. Antivirusaj programoj ne ĉiam kaptas malware, do la administranto alfrontas la taskon kontroli nenormalan aktivecon kaj izoli infektitajn gastigantojn ĝustatempe.
Estas multaj altnivelaj iloj, kiuj permesas vin protekti la IT-infrastrukturon de la kompanio. Hodiaŭ ni parolos pri malfermfontaj entrudiĝaj detektado kaj preventaj sistemoj, kiuj povas esti efektivigitaj sen aĉeti multekostajn licencojn pri aparataro kaj programaro.
IDS/IPS-klasifiko
IDS (Intrusion Detection System) estas sistemo dizajnita por registri suspektindajn agadojn en reto aŭ en aparta komputilo. Ĝi konservas evento-protokolojn kaj sciigas la respondecan pri informa sekureco pri ili. La IDS inkluzivas la sekvajn elementojn:
- sensiloj por vidi retan trafikon, diversajn protokolojn, ktp.
- analiza subsistemo, kiu detektas signojn de malutilaj efikoj en la ricevitaj datumoj;
- stokado por amasiĝo de primaraj eventoj kaj analizrezultoj;
- administra konzolo.
Komence, IDS estis klasifikitaj laŭ loko: ili povus esti temigis protektado de individuaj nodoj (gastiganto-bazitaj aŭ Host Intrusion Detection System - HIDS) aŭ protektado de la tuta entreprena reto (ret-bazita aŭ Network Intrusion Detection System - NIDS). Menciindas la tn. APIDS (Apliko-protokolo-bazitaj IDS): ili kontrolas limigitan aron de aplikaj tavolprotokoloj por detekti specifajn atakojn kaj ne profunde analizas retajn pakaĵetojn. Tiaj produktoj kutime similas prokurojn kaj estas uzataj por protekti specifajn servojn: TTT-servilo kaj TTT-aplikoj (ekzemple skribitaj en PHP), datumbazaj serviloj ktp. Tipa reprezentanto de ĉi tiu klaso estas mod_security por la retservilo Apache.
Ni pli interesiĝas pri universalaj NIDS, kiuj subtenas ampleksan gamon de komunikadaj protokoloj kaj pakatajn analizteknologiojn DPI (Deep Packet Inspection). Ili kontrolas ĉiun preterpasantan trafikon, komencante de la datumliga tavolo, kaj detektas larĝan gamon de retaj atakoj, same kiel neaŭtorizitan aliron al informoj. Ofte tiaj sistemoj havas distribuitan arkitekturon kaj povas interagi kun diversaj aktivaj retaj ekipaĵoj. Notu, ke multaj modernaj NIDS estas hibridaj kaj kombinas plurajn alirojn. Depende de la agordo kaj agordoj, ili povas solvi diversajn problemojn - ekzemple protekti unu nodon aŭ la tutan reton. Krome, IDS-funkcioj por laborstacioj estis transprenitaj de kontraŭvirusaj pakaĵoj, kiuj, pro la disvastiĝo de trojanoj celantaj ŝteli informojn, fariĝis multfunkciaj fajroŝirmiloj, kiuj ankaŭ solvas la taskojn de rekono kaj blokado de suspektinda trafiko.
Komence, IDS povis nur detekti malware-agadon, havenskaniloj aŭ, ekzemple, uzantajn malobservojn de kompaniaj sekurecpolitikoj. Kiam okazis certa evento, ili sciigis la administranton, sed rapide evidentiĝis, ke simple rekoni la atakon ne sufiĉas - ĝi devis esti blokita. Do IDS transformita en IPS (Intrusion Prevention Systems) - entrudiĝaj preventaj sistemoj, kiuj povas interagi kun fajroŝirmiloj.
Detektaj metodoj
Modernaj solvoj pri detektado kaj preventado de entrudiĝoj uzas diversajn metodojn por detekti malican agadon, kiuj povas esti dividitaj en tri kategoriojn. Ĉi tio donas al ni alian eblon por klasifiki sistemojn:
- Subskribo-bazitaj IDS/IPS serĉas ŝablonojn en trafiko aŭ monitoras sistemajn statoŝanĝojn por detekti retan atakon aŭ infektan provon. Ili praktike ne donas misfajrojn kaj falsajn pozitivojn, sed ne kapablas detekti nekonatajn minacojn;
- Anomal-detektantaj IDS-oj ne uzas ataksignaturojn. Ili rekonas eksternorman konduton de informsistemoj (inkluzive de anomalioj en rettrafiko) kaj povas detekti eĉ nekonatajn atakojn. Tiaj sistemoj donas sufiĉe multajn falsajn pozitivojn kaj, se uzataj malĝuste, paralizas la funkciadon de la loka reto;
- Regul-bazitaj IDS funkcias kiel: se FAKTO tiam AGO. Fakte, ĉi tiuj estas spertaj sistemoj kun sciobazoj - aro de faktoj kaj reguloj de inferenco. Tiaj solvoj estas tempopostulaj por agordi kaj postulas la administranton havi detalan komprenon de la reto.
Historio de IDS-evoluo
La epoko de rapida disvolviĝo de interreto kaj kompaniaj retoj komenciĝis en la 90-aj jaroj de la pasinta jarcento, tamen spertuloj iom pli frue estis konfuzitaj de altnivelaj retaj sekurecaj teknologioj. En 1986, Dorothy Denning kaj Peter Neumann publikigis la modelon IDES (Intrusion detection expert system) modelon, kiu iĝis la bazo de la plej multaj modernaj entrudiĝdetektosistemoj. Ŝi uzis ekspertan sistemon por identigi konatajn atakojn, same kiel statistikajn metodojn kaj uzantajn/sistemajn profilojn. IDES funkciis per Sun-laborstacioj, kontrolante rettrafikon kaj aplikaĵdatenojn. En 1993, NIDES (Next-generation Intrusion Detection Expert System) estis publikigita - novageneracia entruddetekto ekspertsistemo.
Surbaze de la laboro de Denning kaj Neumann, la ekspertsistemo MIDAS (Multics-intrusiondetection and alerting system) aperis en 1988, uzante P-BEST kaj LISP. En la sama tempo, la Haystack-sistemo bazita sur statistikaj metodoj estis kreita. Alia statistika anomaliodetektilo, W&S (Saĝeco & Senco), jaron poste estis evoluigita en Los Alamos Nacia Laboratorio. La evoluo de la industrio daŭrigis rapide. Ekzemple, en 1990, anomaliodetekto jam estis efektivigita en la TIM (Tempo-bazita indukta maŝino) sistemo uzanta induktan lernadon sur sinsekvaj uzantpadronoj (Komuna LISP-lingvo). NSM (Network Security Monitor) komparis alirmatricojn por anomaliodetekto, kaj ISOA (Information Security Officer's Assistant) apogis diversajn detektstrategiojn: statistikaj metodoj, profilkontrolado kaj ekspertsistemo. La ComputerWatch-sistemo kreita ĉe AT & T Bell Labs uzis kaj statistikajn metodojn kaj regulojn por konfirmo, kaj la programistoj de la Universitato de Kalifornio ricevis la unuan prototipon de distribuita IDS reen en 1991 - DIDS (Distribuita entruddetektosistemo) ankaŭ estis eksperto. sistemo.
Komence, IDS estis proprietaj, sed jam en 1998, la Nacia Laboratorio. Lawrence ĉe Berkeley publikigis Bro (renomitan Zeek en 2018), malfermfontan sistemon, kiu uzas sian propran regullingvon por analizi libpcap-datumojn. En novembro de la sama jaro aperis la pakaĵeto APE uzanta libpcap, kiu monaton poste estis renomita Snort, kaj poste fariĝis plenrajta IDS / IPS. Samtempe, multaj proprietaj solvoj komencis aperi.
Snort kaj Suricata
Multaj kompanioj preferas senpagajn kaj malfermfontajn IDS/IPS. Dum longa tempo, la jam menciita Snort estis konsiderata la norma solvo, sed nun ĝi estis anstataŭigita per la sistemo Suricata. Konsideru iliajn avantaĝojn kaj malavantaĝojn iom pli detale. Snort kombinas la avantaĝojn de subskriba metodo kun realtempa anomalio-detekto. Suricata ankaŭ permesas aliajn metodojn krom ataka signaturdetekto. La sistemo estis kreita de grupo de programistoj kiuj disiĝis de la Snort-projekto kaj subtenas IPS-funkciojn ekde versio 1.4, dum entrudiĝopreventado aperis en Snort poste.
La ĉefa diferenco inter la du popularaj produktoj estas la kapablo de Suricata uzi la GPU por IDS-komputado, same kiel la pli progresinta IPS. La sistemo estis origine dizajnita por multfadena, dum Snort estas unu-fadena produkto. Pro ĝia longa historio kaj hereda kodo, ĝi ne faras optimuman uzon de multprocesoraj/multkernaj aparataj platformoj, dum Suricata povas pritrakti trafikon ĝis 10 Gbps sur normalaj ĝeneraluzeblaj komputiloj. Pri la similecoj kaj diferencoj inter la du sistemoj vi povas longe paroli, sed kvankam la motoro Suricata funkcias pli rapide, por ne tro larĝaj kanaloj ne gravas.
Opcioj de deplojo
IPS devas esti metita tiel, ke la sistemo povas kontroli la retajn segmentojn sub sia kontrolo. Plej ofte, ĉi tio estas dediĉita komputilo, unu interfaco konektas post la randaj aparatoj kaj "rigardas" tra ili al nesekurigitaj publikaj retoj (Interreto). Alia IPS-interfaco estas konektita al la enigo de la protektita segmento tiel ke la tuta trafiko pasas tra la sistemo kaj estas analizita. En pli kompleksaj kazoj, povas ekzisti pluraj protektitaj segmentoj: ekzemple, en kompaniaj retoj, demilitarigita zono (DMZ) ofte estas asignita kun servoj alireblaj de la Interreto.
Tia IPS povas malhelpi havenskanadon aŭ krudfortajn atakojn, ekspluaton de vundeblecoj en la poŝtservilo, retservilo aŭ skriptoj, same kiel aliajn specojn de eksteraj atakoj. Se la komputiloj en la loka reto estas infektitaj per malware, IDS ne permesos al ili kontakti la botnet-servilojn situantajn ekstere. Pli serioza protekto de la interna reto plej verŝajne postulos kompleksan agordon kun distribuita sistemo kaj multekostaj administritaj ŝaltiloj kapablaj speguli trafikon por IDS-interfaco konektita al unu el la havenoj.
Ofte kompaniaj retoj estas submetataj al distribuitaj ne-de-servo (DDoS) atakoj. Kvankam modernaj IDS-oj povas trakti ilin, la disfalda opcio supre estas de malmulte da helpo ĉi tie. La sistemo rekonas malican agadon kaj blokas falsan trafikon, sed por tio, la pakaĵoj devas trapasi eksteran interretan konekton kaj atingi ĝian retan interfacon. Depende de la intenseco de la atako, la kanalo de transdono de datumoj eble ne povos elteni la ŝarĝon kaj la celo de la atakantoj estos atingita. Por tiaj kazoj, ni rekomendas deploji IDS sur virtuala servilo kun konata pli bona interreta konekto. Vi povas konekti la VPS al la loka reto per VPN, kaj tiam vi devos agordi la vojigon de la tuta ekstera trafiko per ĝi. Tiam, en la okazo de DDoS-atako, vi ne devos veturi pakaĵojn tra la konekto al la provizanto, ili estos blokitaj sur la ekstera gastiganto.
Problemo de elekto
Estas tre malfacile identigi gvidanton inter liberaj sistemoj. La elekto de IDS / IPS estas determinita de la reto-topologio, la necesaj protektaj funkcioj, same kiel la personaj preferoj de la administranto kaj lia deziro ludi kun la agordoj. Snort havas pli longan historion kaj estas pli bone dokumentita, kvankam informoj pri Suricata ankaŭ estas facile trovebla interrete. Ĉiukaze, por regi la sistemon, vi devos fari iujn klopodojn, kiuj poste pagos - komerca aparataro kaj aparataro-programaro IDS / IPS estas sufiĉe multekostaj kaj ne ĉiam taŭgas en la buĝeto. Vi ne devas bedaŭri la tempon pasigitan, ĉar bona administranto ĉiam plibonigas siajn kvalifikojn koste de la dunganto. En ĉi tiu situacio, ĉiuj gajnas. En la sekva artikolo, ni rigardos kelkajn eblojn por disfaldi Suricata kaj komparos la pli modernan sistemon kun la klasika IDS/IPS Snort en la praktiko.
fonto: www.habr.com