Érase una vez, un cortafuegos ordinario y programas antivirus eran suficientes para proteger la red local, pero ese conjunto ya no es lo suficientemente efectivo contra los ataques de los piratas informáticos modernos y el malware que ha proliferado recientemente. El viejo cortafuegos analiza solo los encabezados de los paquetes, pasándolos o bloqueándolos de acuerdo con un conjunto de reglas formales. No sabe nada sobre el contenido de los paquetes y, por lo tanto, no puede reconocer las acciones aparentemente legítimas de los intrusos. Los programas antivirus no siempre detectan el malware, por lo que el administrador se enfrenta a la tarea de monitorear la actividad anómala y aislar los hosts infectados de manera oportuna.
Existen muchas herramientas avanzadas que le permiten proteger la infraestructura de TI de la empresa. Hoy hablaremos sobre los sistemas de detección y prevención de intrusiones de código abierto que se pueden implementar sin comprar costosas licencias de hardware y software.
Clasificación IDS/IPS
IDS (Sistema de detección de intrusos) es un sistema diseñado para registrar actividades sospechosas en una red o en una computadora separada. Mantiene registros de eventos y notifica al responsable de seguridad de la información sobre los mismos. El IDS incluye los siguientes elementos:
- sensores para ver el tráfico de red, varios registros, etc.
- un subsistema de análisis que detecta signos de efectos nocivos en los datos recibidos;
- almacenamiento para la acumulación de eventos primarios y resultados de análisis;
- consola de administración.
Inicialmente, los IDS se clasificaron por ubicación: podían centrarse en la protección de nodos individuales (basados en host o Sistema de detección de intrusos en el host - HIDS) o en la protección de toda la red corporativa (basados en la red o Sistema de detección de intrusos en la red - NIDS). Vale la pena mencionar los llamados. APIDS (IDS basados en protocolo de aplicación): monitorean un conjunto limitado de protocolos de capa de aplicación para detectar ataques específicos y no analizan en profundidad los paquetes de red. Dichos productos suelen parecerse a proxies y se utilizan para proteger servicios específicos: servidor web y aplicaciones web (por ejemplo, escritas en PHP), servidores de bases de datos, etc. Un representante típico de esta clase es mod_security para el servidor web Apache.
Estamos más interesados en NIDS universales que admitan una amplia gama de protocolos de comunicación y tecnologías de análisis de paquetes DPI (inspección profunda de paquetes). Supervisan todo el tráfico que pasa, a partir de la capa de enlace de datos, y detectan una amplia gama de ataques a la red, así como el acceso no autorizado a la información. A menudo, estos sistemas tienen una arquitectura distribuida y pueden interactuar con varios equipos de red activos. Tenga en cuenta que muchos NIDS modernos son híbridos y combinan varios enfoques. Dependiendo de la configuración y los ajustes, pueden resolver varios problemas, por ejemplo, proteger un nodo o toda la red. Además, las funciones de IDS para estaciones de trabajo fueron asumidas por paquetes antivirus que, debido a la propagación de troyanos destinados a robar información, se convirtieron en firewalls multifuncionales que también resuelven las tareas de reconocimiento y bloqueo de tráfico sospechoso.
Inicialmente, IDS solo podía detectar actividad de malware, escáneres de puertos o, por ejemplo, violaciones de las políticas de seguridad corporativas por parte de los usuarios. Cuando ocurría un determinado evento, notificaban al administrador, pero rápidamente quedó claro que simplemente reconocer el ataque no era suficiente: era necesario bloquearlo. Entonces, IDS se transformó en IPS (Sistemas de prevención de intrusiones): sistemas de prevención de intrusiones que pueden interactuar con los firewalls.
Métodos de detección
Las soluciones modernas de detección y prevención de intrusiones utilizan varios métodos para detectar actividades maliciosas, que se pueden dividir en tres categorías. Esto nos da otra opción para clasificar los sistemas:
- Los IDS/IPS basados en firmas buscan patrones en el tráfico o supervisan los cambios de estado del sistema para detectar un ataque a la red o un intento de infección. Prácticamente no dan fallos de encendido y falsos positivos, pero no son capaces de detectar amenazas desconocidas;
- Los IDS de detección de anomalías no utilizan firmas de ataque. Reconocen el comportamiento anormal de los sistemas de información (incluidas las anomalías en el tráfico de la red) y pueden detectar incluso ataques desconocidos. Dichos sistemas dan bastantes falsos positivos y, si se usan incorrectamente, paralizan el funcionamiento de la red local;
- Los IDS basados en reglas funcionan como: si es HECHO, entonces ACCIÓN. De hecho, estos son sistemas expertos con bases de conocimiento: un conjunto de hechos y reglas de inferencia. Estas soluciones requieren mucho tiempo de configuración y requieren que el administrador tenga un conocimiento detallado de la red.
Historia del desarrollo de IDS
La era del rápido desarrollo de Internet y las redes corporativas comenzó en los años 90 del siglo pasado, sin embargo, los expertos estaban desconcertados por las tecnologías avanzadas de seguridad de redes un poco antes. En 1986, Dorothy Denning y Peter Neumann publicaron el modelo IDES (sistema experto de detección de intrusos), que se convirtió en la base de la mayoría de los sistemas modernos de detección de intrusos. Usó un sistema experto para identificar ataques conocidos, así como métodos estadísticos y perfiles de usuario/sistema. IDES se ejecutó en estaciones de trabajo Sun, verificando el tráfico de red y los datos de la aplicación. En 1993, se lanzó NIDES (Sistema experto en detección de intrusos de próxima generación), un sistema experto en detección de intrusos de nueva generación.
Basado en el trabajo de Denning y Neumann, el sistema experto MIDAS (Multics Intrusion Detection and Alerting System) apareció en 1988, utilizando P-BEST y LISP. Al mismo tiempo, se creó el sistema Haystack basado en métodos estadísticos. Otro detector de anomalías estadísticas, W&S (Wisdom & Sense), se desarrolló un año después en el Laboratorio Nacional de Los Álamos. El desarrollo de la industria avanzó a un ritmo rápido. Por ejemplo, en 1990 ya se implementó la detección de anomalías en el sistema TIM (Time-based inductive machine) mediante aprendizaje inductivo sobre patrones secuenciales de usuario (lenguaje Common LISP). NSM (Network Security Monitor) comparó matrices de acceso para la detección de anomalías e ISOA (Information Security Officer's Assistant) apoyó varias estrategias de detección: métodos estadísticos, verificación de perfiles y sistema experto. El sistema ComputerWatch creado en AT & T Bell Labs utilizó métodos estadísticos y reglas para la verificación, y los desarrolladores de la Universidad de California recibieron el primer prototipo de un IDS distribuido en 1991: DIDS (sistema de detección de intrusos distribuido) también fue un experto sistema.
En un principio, los IDS eran propietarios, pero ya en 1998, del Laboratorio Nacional. Lawrence en Berkeley lanzó Bro (rebautizado como Zeek en 2018), un sistema de código abierto que usa su propio lenguaje de reglas para analizar datos de libpcap. En noviembre del mismo año, apareció el rastreador de paquetes APE que usa libpcap, que un mes después pasó a llamarse Snort y luego se convirtió en un IDS / IPS de pleno derecho. Al mismo tiempo, comenzaron a aparecer numerosas soluciones propietarias.
Snort y Suricata
Muchas empresas prefieren IDS/IPS gratuitos y de código abierto. Durante mucho tiempo, el ya mencionado Snort se consideró la solución estándar, pero ahora ha sido reemplazado por el sistema Suricata. Considere sus ventajas y desventajas con un poco más de detalle. Snort combina las ventajas de un método de firma con la capacidad de detectar anomalías en tiempo real. Suricata también permite otros métodos además de la detección de firmas de ataques. El sistema fue creado por un grupo de desarrolladores que se separó del proyecto Snort y es compatible con funciones IPS desde la versión 1.4, mientras que la prevención de intrusiones apareció en Snort más tarde.
La principal diferencia entre los dos productos populares es la capacidad de Suricata de utilizar la GPU para la computación IDS, así como el IPS más avanzado. El sistema se diseñó originalmente para subprocesos múltiples, mientras que Snort es un producto de un solo subproceso. Debido a su larga historia y código heredado, no hace un uso óptimo de las plataformas de hardware multiprocesador/multinúcleo, mientras que Suricata puede manejar un tráfico de hasta 10 Gbps en computadoras normales de uso general. Se puede hablar de las similitudes y diferencias entre los dos sistemas durante mucho tiempo, pero aunque el motor de Suricata funciona más rápido, para canales no demasiado anchos no importa.
Opciones de implementación
IPS debe colocarse de tal manera que el sistema pueda monitorear los segmentos de red bajo su control. En la mayoría de los casos, se trata de una computadora dedicada, una de cuyas interfaces se conecta después de los dispositivos perimetrales y "mira" a través de ellos a redes públicas no seguras (Internet). Otra interfaz IPS se conecta a la entrada del segmento protegido para que todo el tráfico pase por el sistema y sea analizado. En casos más complejos, puede haber varios segmentos protegidos: por ejemplo, en redes corporativas, a menudo se asigna una zona desmilitarizada (DMZ) con servicios accesibles desde Internet.
Tal IPS puede prevenir el escaneo de puertos o ataques de fuerza bruta, la explotación de vulnerabilidades en el servidor de correo, servidor web o scripts, así como otros tipos de ataques externos. Si las computadoras en la red local están infectadas con malware, IDS no les permitirá contactar a los servidores botnet ubicados afuera. Una protección más seria de la red interna probablemente requerirá una configuración compleja con un sistema distribuido y costosos conmutadores administrados capaces de duplicar el tráfico para una interfaz IDS conectada a uno de los puertos.
A menudo, las redes corporativas están sujetas a ataques de denegación de servicio distribuido (DDoS). Aunque los IDS modernos pueden manejarlos, la opción de implementación anterior es de poca ayuda aquí. El sistema reconoce la actividad maliciosa y bloquea el tráfico espurio, pero para ello, los paquetes deben pasar por una conexión a Internet externa y llegar a su interfaz de red. Dependiendo de la intensidad del ataque, es posible que el canal de transmisión de datos no pueda hacer frente a la carga y se logre el objetivo de los atacantes. Para tales casos, recomendamos implementar IDS en un servidor virtual con una mejor conexión a Internet conocida. Puede conectar el VPS a la red local a través de una VPN, y luego deberá configurar el enrutamiento de todo el tráfico externo a través de él. Luego, en caso de un ataque DDoS, no tendrá que enviar paquetes a través de la conexión al proveedor, se bloquearán en el host externo.
Problema de elección
Es muy difícil identificar un líder entre los sistemas libres. La elección de IDS / IPS está determinada por la topología de la red, las funciones de seguridad necesarias, así como las preferencias personales del administrador y su deseo de jugar con la configuración. Snort tiene una historia más larga y está mejor documentado, aunque la información sobre Suricata también es fácil de encontrar en línea. En cualquier caso, para dominar el sistema, tendrá que hacer algunos esfuerzos, que finalmente valdrán la pena: el hardware comercial y el IDS / IPS de hardware y software son bastante caros y no siempre se ajustan al presupuesto. No debe arrepentirse del tiempo invertido, porque un buen administrador siempre mejora sus calificaciones a expensas del empleador. En esta situación, todos ganan. En el próximo artículo, veremos algunas opciones para implementar Suricata y compararemos el sistema más moderno con el clásico IDS/IPS Snort en la práctica.
Fuente: habr.com