روزی روزگاری، یک فایروال معمولی و برنامه های ضد ویروس برای محافظت از شبکه محلی کافی بود، اما چنین مجموعه ای دیگر در برابر حملات هکرهای مدرن و بدافزارهایی که اخیراً گسترش یافته اند، به اندازه کافی مؤثر نیست. فایروال خوب قدیمی تنها سرصفحه های بسته را تجزیه و تحلیل می کند و آنها را مطابق با مجموعه ای از قوانین رسمی مسدود می کند. از محتویات بستهها چیزی نمیداند و بنابراین نمیتواند اقدامات مشروع ظاهری مزاحمان را تشخیص دهد. برنامه های ضد ویروس همیشه بدافزار را نمی گیرند، بنابراین مدیر با وظیفه نظارت بر فعالیت های غیرعادی و جداسازی میزبان های آلوده به موقع مواجه می شود.
ابزارهای پیشرفته زیادی وجود دارد که به شما امکان می دهد از زیرساخت فناوری اطلاعات شرکت محافظت کنید. امروز ما در مورد سیستم های تشخیص نفوذ و پیشگیری از نفوذ متن باز صحبت خواهیم کرد که می توانند بدون خرید مجوزهای سخت افزاری و نرم افزاری گران قیمت پیاده سازی شوند.
طبقه بندی IDS/IPS
IDS (سیستم تشخیص نفوذ) سیستمی است که برای ثبت فعالیت های مشکوک در یک شبکه یا یک کامپیوتر جداگانه طراحی شده است. گزارش رویدادها را نگهداری می کند و به مسئول امنیت اطلاعات در مورد آنها اطلاع می دهد. IDS شامل عناصر زیر است:
- حسگرهایی برای مشاهده ترافیک شبکه، لاگ های مختلف و غیره
- یک زیر سیستم تجزیه و تحلیل که نشانه هایی از اثرات مضر در داده های دریافتی را تشخیص می دهد.
- ذخیره سازی برای تجمع رویدادهای اولیه و نتایج تجزیه و تحلیل؛
- کنسول مدیریت
در ابتدا، IDS بر اساس مکان طبقهبندی میشد: آنها میتوانستند بر روی محافظت از گرههای فردی (مبتنی بر میزبان یا سیستم تشخیص نفوذ میزبان - HIDS) یا محافظت از کل شبکه شرکت (مبتنی بر شبکه یا سیستم تشخیص نفوذ شبکه - NIDS) متمرکز شوند. شایان ذکر است به اصطلاح. APIDS (Application Protocol-based IDS): آنها مجموعه محدودی از پروتکل های لایه کاربردی را برای شناسایی حملات خاص نظارت می کنند و بسته های شبکه را تجزیه و تحلیل عمیق نمی کنند. چنین محصولاتی معمولاً شبیه پراکسی ها هستند و برای محافظت از خدمات خاص استفاده می شوند: وب سرور و برنامه های کاربردی وب (به عنوان مثال، نوشته شده در PHP)، سرورهای پایگاه داده و غیره. یک نماینده معمولی این کلاس mod_security برای وب سرور آپاچی است.
ما بیشتر به NIDS جهانی علاقه مندیم که از طیف گسترده ای از پروتکل های ارتباطی و فناوری های تحلیل بسته DPI (بازرسی عمیق بسته) پشتیبانی می کند. آنها تمام ترافیک عبوری را که از لایه پیوند داده شروع می شود، نظارت می کنند و طیف گسترده ای از حملات شبکه و همچنین دسترسی غیرمجاز به اطلاعات را شناسایی می کنند. اغلب چنین سیستم هایی دارای معماری توزیع شده هستند و می توانند با تجهیزات مختلف شبکه فعال تعامل داشته باشند. توجه داشته باشید که بسیاری از NIDS های مدرن ترکیبی هستند و چندین رویکرد را ترکیب می کنند. بسته به پیکربندی و تنظیمات، آنها می توانند مشکلات مختلفی را حل کنند - به عنوان مثال، محافظت از یک گره یا کل شبکه. علاوه بر این، توابع IDS برای ایستگاه های کاری توسط بسته های ضد ویروس تسخیر شد، که به دلیل گسترش تروجان ها با هدف سرقت اطلاعات، به فایروال های چند منظوره تبدیل شدند که همچنین وظایف شناسایی و مسدود کردن ترافیک مشکوک را حل می کند.
در ابتدا، IDS فقط میتوانست فعالیت بدافزار، اسکنر پورت یا مثلاً نقض سیاستهای امنیتی شرکت توسط کاربر را شناسایی کند. هنگامی که یک رویداد خاص رخ داد، آنها به مدیر اطلاع دادند، اما به سرعت مشخص شد که تشخیص حمله کافی نیست - باید مسدود شود. بنابراین IDS به IPS (سیستم های پیشگیری از نفوذ) تبدیل شد - سیستم های جلوگیری از نفوذ که می توانند با فایروال ها تعامل داشته باشند.
روش های تشخیص
راه حل های مدرن تشخیص نفوذ و پیشگیری از روش های مختلفی برای شناسایی فعالیت های مخرب استفاده می کنند که می توان آنها را به سه دسته تقسیم کرد. این گزینه دیگری برای طبقه بندی سیستم ها به ما می دهد:
- IDS/IPS مبتنی بر امضا به دنبال الگوهایی در ترافیک میگردد یا تغییرات وضعیت سیستم را برای تشخیص حمله به شبکه یا تلاش برای آلودگی نظارت میکند. آنها عملا اشتباهات و مثبت کاذب نمی دهند، اما قادر به شناسایی تهدیدات ناشناخته نیستند.
- IDS های تشخیص ناهنجاری از امضای حمله استفاده نمی کنند. آنها رفتار غیرعادی سیستم های اطلاعاتی (از جمله ناهنجاری ها در ترافیک شبکه) را تشخیص می دهند و می توانند حتی حملات ناشناخته را شناسایی کنند. چنین سیستم هایی مقادیر زیادی از مثبت های کاذب را ارائه می دهند و در صورت استفاده نادرست، عملکرد شبکه محلی را فلج می کنند.
- IDS های مبتنی بر قانون به این صورت عمل می کنند: اگر FACT سپس ACTION. در واقع، اینها سیستم های خبره با پایگاه های دانش - مجموعه ای از حقایق و قوانین استنتاج هستند. راهاندازی چنین راهحلهایی زمانبر است و به مدیر نیاز دارد که درک دقیقی از شبکه داشته باشد.
تاریخچه توسعه IDS
عصر توسعه سریع اینترنت و شبکه های شرکتی در دهه 90 قرن گذشته آغاز شد، با این حال، کارشناسان کمی زودتر با فناوری های پیشرفته امنیت شبکه گیج شده بودند. در سال 1986، دوروتی دنینگ و پیتر نویمان مدل IDES (سیستم خبره تشخیص نفوذ) را منتشر کردند که اساس اکثر سیستمهای تشخیص نفوذ مدرن شد. او از یک سیستم خبره برای شناسایی حملات شناخته شده و همچنین روش های آماری و پروفایل های کاربر/سیستم استفاده کرد. IDES در ایستگاه های کاری Sun اجرا می شد و ترافیک شبکه و داده های برنامه را بررسی می کرد. در سال 1993، NIDES (نسل بعدی سیستم خبره تشخیص نفوذ) منتشر شد - یک سیستم خبره تشخیص نفوذ نسل جدید.
بر اساس کار Denning و Neumann، سیستم خبره MIDAS (Multics Intrusion Detection and Alerting System) در سال 1988 با استفاده از P-BEST و LISP ظاهر شد. در همان زمان، سیستم Haystack بر اساس روش های آماری ایجاد شد. یک آشکارساز ناهنجاری آماری دیگر، W&S (Wisdom & Sense) یک سال بعد در آزمایشگاه ملی لوس آلاموس توسعه یافت. توسعه صنعت با سرعتی سریع پیش رفت. به عنوان مثال، در سال 1990، تشخیص ناهنجاری قبلاً در سیستم TIM (ماشین القایی مبتنی بر زمان) با استفاده از یادگیری القایی روی الگوهای کاربر متوالی (زبان مشترک LISP) پیادهسازی شد. NSM (نظارت امنیت شبکه) ماتریسهای دسترسی را برای تشخیص ناهنجاری مقایسه کرد و ISOA (دستیار افسر امنیت اطلاعات) از استراتژیهای تشخیص مختلف پشتیبانی کرد: روشهای آماری، بررسی مشخصات و سیستم خبره. سیستم ComputerWatch ایجاد شده در آزمایشگاه های AT & T Bell از روش های آماری و قوانین برای تأیید استفاده می کرد و توسعه دهندگان دانشگاه کالیفرنیا اولین نمونه اولیه IDS توزیع شده را در سال 1991 دریافت کردند - DIDS (سیستم تشخیص نفوذ توزیع شده) نیز متخصص بود. سیستم.
ابتدا IDS انحصاری بود، اما قبلاً در سال 1998 آزمایشگاه ملی. لارنس در برکلی Bro (در سال 2018 به Zeek تغییر نام داد) منتشر کرد، یک سیستم منبع باز که از زبان قوانین خاص خود برای تجزیه داده های libpcap استفاده می کند. در نوامبر همان سال، sniffer بسته APE با استفاده از libpcap ظاهر شد که یک ماه بعد به Snort تغییر نام داد و بعداً به یک IDS / IPS تمام عیار تبدیل شد. در همان زمان، راه حل های اختصاصی متعددی شروع به ظهور کردند.
خروپف و سوریکاتا
بسیاری از شرکت ها IDS/IPS رایگان و متن باز را ترجیح می دهند. برای مدت طولانی، Snort که قبلا ذکر شد به عنوان راه حل استاندارد در نظر گرفته می شد، اما اکنون با سیستم Suricata جایگزین شده است. مزایا و معایب آنها را با کمی جزئیات بیشتر در نظر بگیرید. Snort مزایای روش امضا را با تشخیص ناهنجاری در زمان واقعی ترکیب می کند. Suricata همچنین روش های دیگری را به غیر از تشخیص امضای حمله امکان پذیر می کند. این سیستم توسط گروهی از توسعه دهندگان ایجاد شده است که از پروژه Snort جدا شده اند و از ویژگی های IPS از نسخه 1.4 پشتیبانی می کنند، در حالی که پیشگیری از نفوذ بعداً در Snort ظاهر شد.
تفاوت اصلی بین این دو محصول محبوب، توانایی Suricata در استفاده از GPU برای محاسبات IDS و همچنین IPS پیشرفته تر است. این سیستم در ابتدا برای چند رشته طراحی شده بود، در حالی که Snort یک محصول تک رشته ای است. به دلیل سابقه طولانی و کدهای قدیمی، از پلتفرمهای سختافزاری چند پردازنده/چند هستهای استفاده بهینه نمیکند، در حالی که Suricata میتواند ترافیک تا 10 گیگابیت در ثانیه را در رایانههای عمومی معمولی مدیریت کند. شما می توانید در مورد شباهت ها و تفاوت های بین این دو سیستم برای مدت طولانی صحبت کنید، اما اگرچه موتور Suricata سریعتر کار می کند، اما برای کانال های نه چندان عریض مهم نیست.
گزینه های استقرار
IPS باید به گونه ای قرار گیرد که سیستم بتواند بخش های شبکه تحت کنترل خود را نظارت کند. بیشتر اوقات، این یک رایانه اختصاصی است که یکی از رابط های آن پس از دستگاه های لبه متصل می شود و از طریق آنها به شبکه های عمومی ناامن (اینترنت) "نگاه می کند". یک رابط IPS دیگر به ورودی سگمنت محافظت شده متصل است تا تمام ترافیک از سیستم عبور کرده و آنالیز شود. در موارد پیچیده تر، ممکن است چندین بخش محافظت شده وجود داشته باشد: برای مثال، در شبکه های شرکتی، یک منطقه غیرنظامی (DMZ) اغلب با خدمات قابل دسترسی از اینترنت اختصاص داده می شود.
چنین IPS می تواند از اسکن پورت یا حملات brute-force، سوء استفاده از آسیب پذیری ها در سرور ایمیل، وب سرور یا اسکریپت ها و همچنین انواع دیگر حملات خارجی جلوگیری کند. اگر رایانههای موجود در شبکه محلی به بدافزار آلوده شوند، IDS به آنها اجازه نمیدهد با سرورهای باتنت واقع در خارج تماس بگیرند. حفاظت جدی تر از شبکه داخلی به احتمال زیاد نیازمند یک پیکربندی پیچیده با یک سیستم توزیع شده و سوئیچ های مدیریت شده گران قیمت است که می توانند ترافیک را برای رابط IDS متصل به یکی از پورت ها منعکس کنند.
اغلب شبکه های شرکتی در معرض حملات انکار سرویس توزیع شده (DDoS) قرار می گیرند. اگرچه IDS های مدرن می توانند با آنها مقابله کنند، گزینه استقرار بالا در اینجا کمک چندانی نمی کند. سیستم فعالیت های مخرب را تشخیص می دهد و ترافیک جعلی را مسدود می کند، اما برای این کار، بسته ها باید از طریق یک اتصال اینترنتی خارجی عبور کرده و به رابط شبکه خود برسند. بسته به شدت حمله، کانال انتقال داده ممکن است نتواند با بار مقابله کند و هدف مهاجمان محقق شود. برای چنین مواردی، توصیه میکنیم IDS را روی یک سرور مجازی با اتصال اینترنتی بهتر استقرار دهید. شما می توانید VPS را از طریق VPN به شبکه محلی متصل کنید و سپس باید مسیریابی تمام ترافیک خارجی را از طریق آن پیکربندی کنید. سپس، در صورت حمله DDoS، مجبور نخواهید بود بسته ها را از طریق اتصال به ارائه دهنده هدایت کنید، آنها در هاست خارجی مسدود می شوند.
مشکل انتخاب
شناسایی یک رهبر در میان سیستم های رایگان بسیار دشوار است. انتخاب IDS / IPS با توجه به توپولوژی شبکه، عملکردهای حفاظتی لازم، و همچنین ترجیحات شخصی مدیر و تمایل او به کمانچه با تنظیمات تعیین می شود. Snort تاریخچه طولانی تری دارد و بهتر مستند شده است، اگرچه اطلاعات در مورد Suricata نیز به راحتی به صورت آنلاین یافت می شود. در هر صورت، برای تسلط بر سیستم، باید تلاش هایی انجام دهید، که در نهایت نتیجه خواهد داد - سخت افزار تجاری و سخت افزار-نرم افزار IDS / IPS بسیار گران هستند و همیشه در بودجه جای نمی گیرند. شما نباید از زمان صرف شده پشیمان شوید، زیرا یک مدیر خوب همیشه صلاحیت خود را به هزینه کارفرما بهبود می بخشد. در این شرایط همه برنده هستند. در مقاله بعدی، به چند گزینه برای استقرار Suricata نگاه می کنیم و سیستم مدرن تر را با IDS/IPS Snort کلاسیک در عمل مقایسه می کنیم.
منبع: www.habr.com