Garai batean, suebaki arrunt bat eta birusen aurkako programa nahikoak ziren tokiko sare bat babesteko, baina multzo hori ez da nahikoa eraginkorra hacker modernoen eta azkenaldian ugaritu den malwarearen aurka. Suebaki zahar on batek paketeen goiburuak baino ez ditu aztertzen, arau formal batzuen arabera baimenduz edo blokeatuz. Ez daki ezer paketeen edukiari buruz, eta, beraz, ezin ditu antzeman erasotzaileen itxuraz zilegiak diren ekintzak. Birusen aurkako programek ez dute beti malwarea harrapatzen, beraz, administratzaileak jarduera anormalak kontrolatzeko eta kutsatutako ostalariak garaiz isolatzeko zereginari aurre egiten dio.
Tresna aurreratu asko daude eskuragarri enpresa baten IT azpiegitura babesteko. Gaurkoan, kode irekiko intrusioak detektatzeko eta prebenitzeko sistemei buruz hitz egingo dugu, ekipo eta software lizentzia garestiak erosi gabe ezarri daitezkeenak.
IDS/IPS sailkapena
IDS (Intrusion Detection System) jarduera susmagarriak sare batean edo beste ordenagailu batean erregistratzeko diseinatutako sistema da. Gertaeren erregistroak gordetzen ditu eta informazioaren segurtasunaz arduratzen den langileari jakinarazten dio. Elementu hauek bereiz daitezke IDSren zati gisa:
- sareko trafikoa ikusteko sentsoreak, hainbat erregistro, etab.
- jasotako datuetan ondorio kaltegarrien zantzuak detektatzen dituen analisi-azpisistema;
- lehen mailako gertaerak eta analisien emaitzak metatzeko biltegiratzea;
- kudeaketa kontsola.
Hasieran, IDS kokapenaren arabera sailkatu ziren: nodo indibidualak babestera bideratu litezke (ostalari-oinarritutako edo Host-en Intrusion Detection System - HIDS) edo sare korporatibo osoa babestera (sarean oinarritutako edo Network Intrusion Detection System - NIDS). Aipatzekoa da deiturikoa. APIDS (Application protocol-based IDS): aplikazio-geruzako protokoloen multzo mugatu bat kontrolatzen dute eraso zehatzak detektatzeko eta sare-paketeak ez aztertzeko sakonean. Produktu horiek proxyen antza izan ohi dute eta zerbitzu zehatzak babesteko erabiltzen dira: web zerbitzaria eta web aplikazioak (adibidez, PHPz idatziak), datu-base zerbitzariak, etab. Klase honen adibide tipikoa mod_security da Apache web zerbitzariarentzat.
Gehiago interesatzen zaigu komunikazio-protokolo eta DPI (Deep Packet Inspection) teknologiak onartzen dituzten NIDS unibertsalak. Pasatzen den trafiko guztia kontrolatzen dute, datu-lotura geruzatik hasita, eta sare-eraso ugari detektatzen dituzte, bai eta baimenik gabeko informazioa eskuratzeko saiakerak ere. Askotan, horrelako sistemek arkitektura banatua dute eta sare aktiboko hainbat ekiporekin elkarreragin dezakete. Kontuan izan NIDS moderno asko hibridoak direla eta hainbat ikuspegi konbinatzen dituztela. Konfigurazioaren eta ezarpenen arabera, hainbat arazo konpon ditzakete, adibidez, nodo bat edo sare osoa babestea. Gainera, lan-estazioetarako IDS-en funtzioak birusen aurkako paketeek hartu zituzten, zeinak, informazioa lapurtzera zuzendutako troiarren hedapenaren ondorioz, trafiko susmagarria ezagutu eta blokeatzeko arazoak ere konpontzen dituzten funtzio anitzeko suebaki bihurtu ziren.
Hasieran, IDS-k malware-jarduerak, portu-eskanerrak edo, esate baterako, erabiltzaileen segurtasun-politiken urraketak soilik detektatu zituen. Gertaera jakin bat gertatu zenean, administratzaileari jakinarazi zioten, baina berehala argi geratu zen erasoa antzematea ez zela nahikoa: blokeatu egin behar zen. Beraz, IDS IPS (Intrusion Prevention Systems) bihurtu zen - intrusioak prebenitzeko sistema suebakiekin elkarreragiteko gai direnak.
Detektatzeko metodoak
Intrusioak detektatzeko eta prebenitzeko irtenbide modernoek hainbat metodo erabiltzen dituzte jarduera gaiztoak identifikatzeko, hiru kategoriatan banatu daitezkeenak. Honek beste aukera bat ematen digu sistemak sailkatzeko:
- Sinaduran oinarritutako IDS/IPS-ak trafikoan ereduak bilatzen ditu edo sistemaren egoera-aldaketak kontrolatzen ditu sareko eraso edo infekzio saiakera bat detektatzeko. Ia ez dute akatsik eta positibo faltsurik ematen, baina ez dira gai ezezagunak diren mehatxuak identifikatzeko;
- Anomaliak detektatzeko IDSek ez dute eraso-sinadurarik erabiltzen. Informazio sistemen portaera anormala ezagutzen dute (sareko trafikoaren anomaliak barne) eta eraso ezezagunak ere hauteman ditzakete. Horrelako sistemek positibo faltsu asko ematen dituzte eta, gaizki erabiltzen badira, sare lokalaren funtzionamendua geldiarazten dute;
- Arauetan oinarritutako IDS printzipioan lan egiten da: FACT bada, EKINTZA. Funtsean, ezagutza-oinarriak dituzten sistema adituak dira, inferentzia logikoko gertakari eta arau multzo bat. Konponbide horiek konfiguratzeko lan handia eskatzen dute eta administratzaileak sarearen ulermen zehatza izatea eskatzen du.
IDS garapenaren historia
Interneten eta sare korporatiboen garapen azkarraren aroa joan den mendeko 90eko hamarkadan hasi zen, baina adituak sareko segurtasun teknologia aurreratuekin harrituta zeuden pixka bat lehenago. 1986an, Dorothy Denning-ek eta Peter Neumannek IDES (Intrusion detection expert system) eredua argitaratu zuten, intrusioak detektatzeko sistema modernoenen oinarri bihurtu zena. Sistema aditu bat erabili zuen eraso mota ezagunak identifikatzeko, baita metodo estatistikoak eta erabiltzaile/sistema profilak ere. IDES Sun lan-estazioetan exekutatu zen, sareko trafikoa eta aplikazioen datuak ikuskatuz. 1993an, NIDES (Next-generation Intrusion Detection Expert System) kaleratu zen - belaunaldi berriko intrusioak detektatzeko sistema aditua.
Denning eta Neumannen lanean oinarrituta, MIDAS (Multics intrusion detection and alerting system) sistema aditua agertu zen 1988an, P-BEST eta LISP erabiliz. Aldi berean, metodo estatistikoetan oinarritutako Haystack sistema sortu zen. Beste anomalia estatistiko-detektagailu bat, W&S (Wisdom & Sense), urtebete geroago Los Alamos National Laboratory-n garatu zen. Industria erritmo bizian garatzen ari zen. Esaterako, 1990ean, anomalien detekzioa jada ezarrita zegoen TIM (Time-based inductive machine) sisteman, erabiltzaile-eredu sekuentzialetan (Common LISP hizkuntza) ikaskuntza induktiboa erabiliz. NSMk (Network Security Monitor) atzipen-matrizeak alderatu zituen anomaliak detektatzeko, eta ISOAk (Information Security Officer's Assistant) hainbat detekzio-estrategia onartzen zituen: metodo estatistikoak, profilaren egiaztapena eta sistema aditua. AT & T Bell Labs-en sortutako ComputerWatch sistemak metodo estatistikoak zein arauak erabili zituen egiaztatzeko, eta Kaliforniako Unibertsitateko garatzaileek 1991n jaso zuten banatutako IDS baten lehen prototipoa - DIDS (Distributed intrusion detection system) aditua zen ere. sistema.
Hasieran, IDS jabedunak ziren, baina jada 1998an, Laborategi Nazionala. Lawrence Berkeley-k Bro kaleratu zuen (2018an Zeek izendatua), libpcap datuak aztertzeko jabedun arau-lengoaia erabiltzen duen kode irekiko sistema. Urte bereko azaroan, APE pakete sniffer libpcap erabiliz agertu zen, hilabete geroago Snort izena hartu zuena, eta gero IDS/IPS osoa bihurtu zen. Aldi berean, jabedun irtenbide ugari agertzen hasi ziren.
Snort eta Suricata
Enpresa askok nahiago dute IDS/IPS doako eta kode irekiko. Denbora luzez, lehen aipatutako Snort irtenbide estandartzat hartu zen, baina orain Suricata sistemak ordezkatu du. Ikus ditzagun haien abantailak eta desabantailak xehetasun apur bat gehiagorekin. Snort-ek sinaduran oinarritutako metodo baten abantailak eta anomaliak denbora errealean detektatzeko gaitasunarekin uztartzen ditu. Suricata-k sinaduren bidez erasoak ezagutzeaz gain beste metodo batzuk ere erabil ditzakezu. Sistema Snort proiektutik bereizitako garatzaile talde batek sortu zuen eta IPS funtzioak onartzen ditu 1.4 bertsiotik hasita, eta Snort-ek sarrerak saihesteko gaitasuna sartu zuen geroago.
Bi produktu ezagunen arteko desberdintasun nagusia Suricata-k IDS informatikarako GPU erabiltzeko duen gaitasuna da, baita IPS aurreratuagoa ere. Sistema hasiera batean hari anitzeko diseinatu zen, eta Snort hari bakarreko produktua da. Bere historia luzearen eta ondare-kodearen ondorioz, ez ditu prozesadore anitzeko/nukleo anitzeko hardware plataformen erabilerarik onena egiten, Suricata-k, berriz, 10 Gbps-ko trafikoa kudea dezake helburu orokorreko ordenagailu arruntetan. Bi sistemen arteko antzekotasun eta desberdintasunei buruz denbora luzez hitz egin dezakezu, baina Suricata motorrak azkarrago funtzionatzen duen arren, kanal zabalegietarako ez du axola.
Hedatzeko aukerak
IPS sistemak bere kontrolpean dauden sare-segmentuak kontrolatu ditzakeen moduan jarri behar da. Gehienetan, ordenagailu dedikatu bat da, eta horietako interfaze bat ertzeko gailuen ondoren konektatzen da eta horien bidez "begiratzen" da babestu gabeko sare publikoetara (Internet). Beste IPS interfaze bat babestutako segmentuaren sarrerara konektatuta dago, trafiko guztia sistematik igaro eta aztertu dadin. Kasu konplexuagoetan, babestutako hainbat segmentu egon daitezke: adibidez, sare korporatiboetan eremu desmilitarizatu bat (DMZ) esleitu ohi da Internetetik eskura daitezkeen zerbitzuekin.
Horrelako IPS batek portuak eskaneatzea edo pasahitzak indar gordineko erasoak, posta zerbitzariaren, web zerbitzariaren edo scripten ahultasunen ustiapena ekidin ditzake, baita kanpoko beste eraso mota batzuk ere. Sare lokaleko ordenagailuak malwarez kutsatuta badaude, IDSk ez die utziko kanpoan dauden botnet zerbitzariekin harremanetan jartzen. Barne-sarearen babes larriagoa lortzeko, ziurrenik portuetako batera konektatutako IDS interfazearen trafikoa islatzeko gai diren sistema banatu batekin eta kudeatutako etengailu garestiekin konfigurazio konplexua beharko da.
Askotan, sare korporatiboek zerbitzuaren ukapen banatuaren (DDoS) erasoen menpe daude. IDS modernoek horiei aurre egin dezaketen arren, goiko hedapen aukerak ez du laguntza handirik hemen. Sistemak jarduera gaiztoak antzematen ditu eta ezusteko trafikoa blokeatzen du, baina, horretarako, paketeek kanpoko Interneteko konexio batetik igaro behar dute eta bere sareko interfazera iritsi behar dute. Erasoaren intentsitatearen arabera, baliteke datuen transmisio-kanalak kargari aurre egiteko gai ez izatea eta erasotzaileen helburua lortuko da. Horrelako kasuetarako, IDS Internet konexio hobea ezagutzen duen zerbitzari birtual batean zabaltzea gomendatzen dugu. VPS sare lokalera konekta dezakezu VPN baten bidez, eta, ondoren, kanpoko trafiko guztiaren bideratzea konfiguratu beharko duzu. Ondoren, DDoS eraso bat gertatuz gero, ez duzu paketerik gidatu beharko hornitzailearekiko konexioaren bidez, kanpoko ostalarian blokeatuko dira.
Aukeratzearen arazoa
Oso zaila da sistema libreen artean lider bat identifikatzea. IDS/IPS aukeraketa sarearen topologiak, beharrezko segurtasun-funtzioek, baita administratzailearen hobespen pertsonalek eta bere ezarpenak moldatzeko nahiak zehazten dute. Snort-ek historia luzeagoa du eta hobeto dokumentatuta dago, nahiz eta Suricatari buruzko informazioa sarean aurkitzea erraza den. Edonola ere, sistema menperatzeko ahalegin batzuk egin beharko dituzu, eta horrek azkenean balioko du - hardware komertziala eta hardware-software IDS/IPS nahiko garestiak dira eta ez dira beti aurrekontuan sartzen. Alferrik galdutako denbora damutzeak ez du balio, administratzaile on batek beti hobetzen baititu bere gaitasunak enpresariaren kontura. Egoera honetan, denek irabazten dute. Hurrengo artikuluan Suricata inplementatzeko aukera batzuk aztertuko ditugu eta sistema modernoago bat IDS/IPS Snort klasikoarekin alderatuko dugu praktikan.
Iturria: www.habr.com