Kunagi piisas kohaliku võrgu kaitsmiseks tavalisest tulemüürist ja viirusetõrjeprogrammidest, kuid tänapäeva häkkerite rünnakute ja viimasel ajal vohanud pahavara vastu pole selline komplekt enam piisavalt tõhus. Vana hea tulemüür analüüsib ainult pakettide päiseid, edastades või blokeerides need vastavalt formaalsetele reeglitele. Ta ei tea midagi pakendite sisust ega suuda seetõttu ära tunda sissetungijate väliselt õigustatud tegevust. Viirusetõrjeprogrammid ei püüa alati pahavara kinni, seega seisab administraatori ees ülesanne jälgida anomaalset tegevust ja õigeaegselt isoleerida nakatunud hostid.
Seal on palju täiustatud tööriistu, mis võimaldavad kaitsta ettevõtte IT-infrastruktuuri. Täna räägime avatud lähtekoodiga sissetungimise tuvastamise ja ennetamise süsteemidest, mida saab rakendada kalleid riist- ja tarkvaralitsentse ostmata.
IDS/IPS klassifikatsioon
IDS (Intrusion Detection System) on süsteem, mis on loodud kahtlaste tegevuste registreerimiseks võrgus või eraldi arvutis. See peab sündmuste logisid ja teavitab nendest infoturbe eest vastutavat isikut. IDS sisaldab järgmisi elemente:
- andurid võrguliikluse, erinevate logide jms vaatamiseks.
- analüüsi alamsüsteem, mis tuvastab saadud andmetes kahjuliku mõju märke;
- salvestamine esmaste sündmuste ja analüüsitulemuste kogumiseks;
- halduskonsool.
Algselt klassifitseeriti IDS-id asukoha järgi: need võisid keskenduda üksikute sõlmede kaitsmisele (hostipõhine ehk Host Intrusion Detection System – HIDS) või kogu ettevõtte võrgu kaitsmisele (võrgupõhine ehk Network Intrusion Detection System – NIDS). Mainimist väärib nn. APIDS (rakendusprotokollipõhine IDS): need jälgivad piiratud kogumit rakenduskihi protokolle, et tuvastada konkreetseid rünnakuid, ega analüüsi võrgupakette sügavuti. Sellised tooted meenutavad tavaliselt puhverservereid ja neid kasutatakse konkreetsete teenuste kaitsmiseks: veebiserver ja veebirakendused (näiteks PHP-ga kirjutatud), andmebaasiserverid jne. Selle klassi tüüpiline esindaja on Apache veebiserveri jaoks mod_security.
Oleme rohkem huvitatud universaalsetest NIDS-idest, mis toetavad laia valikut sideprotokolle ja DPI (Deep Packet Inspection) paketianalüüsi tehnoloogiaid. Nad jälgivad kogu läbivat liiklust, alustades andmesidekihist, ja tuvastavad mitmesuguseid võrgurünnakuid, samuti volitamata juurdepääsu teabele. Sageli on sellistel süsteemidel hajutatud arhitektuur ja need võivad suhelda erinevate aktiivsete võrguseadmetega. Pange tähele, et paljud kaasaegsed NIDS-id on hübriidsed ja kombineerivad mitut lähenemisviisi. Olenevalt konfiguratsioonist ja seadistustest saavad need lahendada mitmesuguseid probleeme – näiteks kaitsta ühte sõlme või kogu võrku. Lisaks võtsid IDS-i funktsioonid tööjaamade jaoks üle viirusetõrjepaketid, mis infovargile suunatud troojalaste leviku tõttu muutusid multifunktsionaalseteks tulemüürideks, mis lahendavad ka kahtlase liikluse äratundmise ja blokeerimise ülesandeid.
Algselt suutis IDS tuvastada ainult pahavara tegevust, pordiskannereid või näiteks kasutajate ettevõtte turvapoliitika rikkumisi. Teatud sündmuse toimumisest teavitasid nad administraatorit, kuid kiiresti selgus, et rünnaku lihtsalt äratundmisest ei piisa – see tuli blokeerida. Seega muudeti IDS IPS-iks (Intrusion Prevention Systems) - sissetungi ennetussüsteemideks, mis võivad tulemüüridega suhelda.
Tuvastamismeetodid
Kaasaegsed sissetungimise tuvastamise ja ennetamise lahendused kasutavad pahatahtliku tegevuse tuvastamiseks erinevaid meetodeid, mida saab jagada kolme kategooriasse. See annab meile veel ühe võimaluse süsteemide klassifitseerimiseks:
- Allkirjapõhine IDS/IPS otsib liiklusest mustreid või jälgib süsteemi oleku muutusi, et tuvastada võrgurünnak või nakatumiskatse. Nad praktiliselt ei anna tõrkeid ja valepositiivseid tulemusi, kuid ei suuda tuvastada tundmatuid ohte;
- Anomaaliate tuvastavad IDS-id ei kasuta rünnakusignatuure. Nad tunnevad ära infosüsteemide ebanormaalse käitumise (sh võrguliikluse anomaaliad) ja suudavad tuvastada isegi tundmatuid ründeid. Sellised süsteemid annavad üsna palju valepositiivseid tulemusi ja halva kasutamise korral halvavad kohaliku võrgu töö;
- Reeglipõhised IDS-id töötavad järgmiselt: kui FACT, siis ACTION. Tegelikult on need teadmistebaasidega ekspertsüsteemid – faktide ja järeldusreeglite kogum. Selliste lahenduste seadistamine on aeganõudev ja eeldab, et administraator peab võrgust üksikasjalikult aru saama.
IDS-i arendamise ajalugu
Interneti ja ettevõtete võrkude kiire arengu ajastu algas eelmise sajandi 90ndatel, kuid eksperdid olid veidi varem hämmingus arenenud võrguturbetehnoloogiate pärast. 1986. aastal avaldasid Dorothy Denning ja Peter Neumann mudeli IDES (Intrusion detection expert system), millest sai enamiku kaasaegsete sissetungituvastussüsteemide alus. Ta kasutas teadaolevate rünnakute tuvastamiseks ekspertsüsteemi, samuti statistilisi meetodeid ja kasutaja-/süsteemiprofiile. IDES töötas Suni tööjaamades, kontrollides võrguliiklust ja rakenduste andmeid. 1993. aastal ilmus NIDES (Next-generation Intrusion Detection Expert System) – uue põlvkonna sissetungi tuvastamise ekspertsüsteem.
Denningi ja Neumanni töö põhjal ilmus 1988. aastal MIDAS (Multics intrusion detection and alerting system) ekspertsüsteem, mis kasutas P-BEST ja LISP. Samal ajal loodi statistilistel meetoditel põhinev süsteem Haystack. Teine statistilise anomaalia detektor W&S (Wisdom & Sense) töötati välja aasta hiljem Los Alamose riiklikus laboris. Tööstuse areng kulges kiires tempos. Näiteks 1990. aastal rakendati anomaaliate tuvastamist juba TIM (Time-based inductive machine) süsteemis, kasutades järjestikuste kasutajamustrite järgi induktiivset õppimist (Common LISP keel). NSM (Network Security Monitor) võrdles anomaaliate tuvastamise juurdepääsumaatriksiid ning ISOA (Information Security Officer's Assistant) toetas erinevaid tuvastamisstrateegiaid: statistilisi meetodeid, profiilide kontrollimist ja ekspertsüsteemi. AT & T Bell Labsis loodud süsteem ComputerWatch kasutas kontrollimiseks nii statistilisi meetodeid kui ka reegleid ning California ülikooli arendajad said esimese hajutatud IDS-i prototüübi juba 1991. aastal – DIDS (Distributed intrusion detection system) oli ka ekspert. süsteem.
Alguses oli IDS patenteeritud, kuid juba 1998. aastal National Laboratory. Lawrence Berkeleys andis välja Bro (2018. aastal nimetati ümber Zeekiks), avatud lähtekoodiga süsteemi, mis kasutab libpcapi andmete sõelumiseks oma reeglite keelt. Sama aasta novembris ilmus libpcapi kasutav APE pakettide nuusutaja, mis kuu aega hiljem nimetati ümber Snortiks ja millest sai hiljem täieõiguslik IDS / IPS. Samal ajal hakkasid ilmuma arvukad patenteeritud lahendused.
Snort ja Suricata
Paljud ettevõtted eelistavad tasuta ja avatud lähtekoodiga IDS/IPS-i. Pikka aega peeti standardlahenduseks juba mainitud Snorti, kuid nüüd on see asendatud Suricata süsteemiga. Mõelge nende eelistele ja puudustele veidi üksikasjalikumalt. Snort ühendab signatuurimeetodi eelised võimalusega tuvastada kõrvalekaldeid reaalajas. Suricata võimaldab peale ründesignatuuri tuvastamise ka muid meetodeid. Süsteemi lõi rühm arendajaid, kes eraldusid Snorti projektist ja toetavad IPS-i funktsioone alates versioonist 1.4, samas kui sissetungitõrje ilmus Snortis hiljem.
Peamine erinevus kahe populaarse toote vahel on Suricata võime kasutada IDS-i andmetöötluseks GPU-d, aga ka täiustatud IPS-i. Süsteem oli algselt mõeldud mitme keermega ühendamiseks, samas kui Snort on ühe keermega toode. Oma pika ajaloo ja pärandkoodi tõttu ei kasuta see optimaalselt mitme protsessori/mitmetuumalise riistvaraplatvorme, samas kui Suricata suudab tavalistes üldotstarbelistes arvutites töödelda kuni 10 Gbps liiklust. Kahe süsteemi sarnasustest ja erinevustest võib pikalt rääkida, kuid kuigi Suricata mootor töötab kiiremini, siis mitte liiga laiade kanalite puhul pole sellel tähtsust.
Juurutamisvalikud
IPS peab olema paigutatud nii, et süsteem saaks jälgida tema kontrolli all olevaid võrgusegmente. Enamasti on selleks spetsiaalne arvuti, mille üks liides ühendub pärast ääreseadmeid ja “vaatab” nende kaudu turvamata avalikesse võrkudesse (Internet). Teine IPS-liides on ühendatud kaitstud segmendi sisendiga, nii et kogu liiklus läbib süsteemi ja seda analüüsitakse. Keerulisematel juhtudel võib kaitstud segmente olla mitu: näiteks ettevõtete võrkudes eraldatakse Internetist juurdepääsetavate teenustega sageli demilitariseeritud tsoon (DMZ).
Selline IPS võib takistada pordi skannimist või jõhkraid rünnakuid, meiliserveri, veebiserveri või skriptide haavatavuste ärakasutamist, aga ka muud tüüpi väliseid ründeid. Kui kohalikus võrgus olevad arvutid on nakatunud pahavaraga, ei luba IDS neil väljaspool asuvate botnetiserveritega ühendust võtta. Tõsisem sisevõrgu kaitse nõuab suure tõenäosusega keerulist konfiguratsiooni hajutatud süsteemi ja kallite hallatavate lülititega, mis on võimelised peegeldama liiklust ühe pordiga ühendatud IDS-liidese jaoks.
Sageli on ettevõtete võrgud allutatud hajutatud teenuse keelamise (DDoS) rünnakutele. Kuigi kaasaegsed IDS-id saavad nendega hakkama, on ülaltoodud juurutamisvõimalusest siin vähe abi. Süsteem tunneb ära pahatahtliku tegevuse ja blokeerib valeliikluse, kuid selleks peavad paketid läbima välise Interneti-ühenduse ja jõudma selle võrguliideseni. Olenevalt ründe intensiivsusest ei pruugi andmeedastuskanal koormusega toime tulla ja ründajate eesmärk saab täidetud. Sellistel juhtudel soovitame juurutada IDS teadaolevalt parema Interneti-ühendusega virtuaalserveris. VPS-i saate kohaliku võrguga ühendada VPN-i kaudu ja seejärel peate konfigureerima kogu välise liikluse marsruutimise selle kaudu. Seejärel ei pea te DDoS-i rünnaku korral pakette pakkujaga ühenduse kaudu juhtima, need blokeeritakse välises hostis.
Valikuprobleem
Tasuta süsteemide seas on liidrit väga raske tuvastada. IDS / IPS-i valiku määravad ära võrgu topoloogia, vajalikud kaitsefunktsioonid, aga ka administraatori isiklikud eelistused ja soov seadistustega askeldada. Snortil on pikem ajalugu ja see on paremini dokumenteeritud, kuigi teavet Suricata kohta on lihtne leida ka Internetist. Igal juhul peate süsteemi omandamiseks tegema mõningaid jõupingutusi, mis lõpuks tasub end ära - kaubanduslik riistvara ja riistvara-tarkvara IDS / IPS on üsna kallid ega mahu alati eelarvesse. Kulutatud aega ei tasu kahetseda, sest hea administraator tõstab oma kvalifikatsiooni alati tööandja kulul. Selles olukorras võidavad kõik. Järgmises artiklis vaatleme mõningaid võimalusi Suricata juurutamiseks ja võrdleme kaasaegsemat süsteemi klassikalise IDS/IPS Snortiga praktikas.
Allikas: www.habr.com