Aikoinaan tavallinen palomuuri ja virustorjuntaohjelmat riittivät suojaamaan paikallisverkkoa, mutta tällainen sarja ei ole enää riittävän tehokas nykyaikaisten hakkereiden hyökkäyksiä ja viime aikoina levinnyt haittaohjelmia vastaan. Vanha kunnon palomuuri analysoi vain pakettien otsikot, ohittaen tai estämällä ne muodollisten sääntöjen mukaisesti. Se ei tiedä mitään pakettien sisällöstä, eikä siksi voi tunnistaa tunkeilijoiden ulkoisesti laillisia toimia. Virustentorjuntaohjelmat eivät aina saa kiinni haittaohjelmia, joten järjestelmänvalvojan tehtävänä on valvoa poikkeavaa toimintaa ja eristää tartunnan saaneet isännät ajoissa.
On olemassa monia edistyneitä työkaluja, joiden avulla voit suojata yrityksen IT-infrastruktuuria. Tänään puhumme avoimen lähdekoodin tunkeutumisen havainnointi- ja estojärjestelmistä, jotka voidaan ottaa käyttöön ilman kalliita laitteisto- ja ohjelmistolisenssejä.
IDS/IPS-luokitus
IDS (Intrusion Detection System) on järjestelmä, joka on suunniteltu rekisteröimään epäilyttävät toiminnot verkossa tai erillisellä tietokoneella. Se ylläpitää tapahtumalokeja ja ilmoittaa niistä tietoturvasta vastaavalle henkilölle. IDS sisältää seuraavat elementit:
- anturit verkkoliikenteen, erilaisten lokien jne.
- analyysialijärjestelmä, joka havaitsee haitallisten vaikutusten merkkejä vastaanotetuista tiedoista;
- Tallennus ensisijaisten tapahtumien ja analyysitulosten keräämistä varten;
- hallintakonsoli.
Aluksi IDS luokiteltiin sijainnin mukaan: ne voitiin keskittyä yksittäisten solmujen suojaamiseen (isäntäpohjainen tai isäntätunkeutumisen havaitsemisjärjestelmä - HIDS) tai koko yritysverkon suojaamiseen (verkkopohjainen tai verkkotunkeutumisen havainnointijärjestelmä - NIDS). Kannattaa mainita ns. APIDS (Application protocol-based IDS): Ne valvovat rajoitettua joukkoa sovelluskerroksen protokollia havaitakseen tiettyjä hyökkäyksiä eivätkä analysoi verkkopaketteja syvällisesti. Tällaiset tuotteet muistuttavat yleensä välityspalvelimia ja niitä käytetään tiettyjen palvelujen suojaamiseen: verkkopalvelin ja verkkosovellukset (esimerkiksi PHP:llä kirjoitetut), tietokantapalvelimet jne. Tyypillinen tämän luokan edustaja on mod_security Apache-verkkopalvelimelle.
Olemme kiinnostuneempia yleisistä NIDS:istä, jotka tukevat monenlaisia viestintäprotokollia ja DPI (Deep Packet Inspection) -pakettianalyysiteknologioita. Ne valvovat kaikkea ohikulkevaa liikennettä tietolinkkikerroksesta alkaen ja havaitsevat monenlaisia verkkohyökkäyksiä sekä luvattoman pääsyn tietoihin. Usein tällaisilla järjestelmillä on hajautettu arkkitehtuuri ja ne voivat olla vuorovaikutuksessa erilaisten aktiivisten verkkolaitteiden kanssa. Huomaa, että monet nykyaikaiset NIDS-laitteet ovat hybridejä ja yhdistävät useita lähestymistapoja. Kokoonpanosta ja asetuksista riippuen ne voivat ratkaista erilaisia ongelmia - esimerkiksi yhden solmun tai koko verkon suojaamisen. Lisäksi työasemien IDS:n toiminnot ottivat haltuunsa virustorjuntapaketit, jotka tietovarastamiseen tähtäävien troijalaisten leviämisen myötä muuttuivat monitoimisiksi palomuureiksi, jotka myös ratkaisevat epäilyttävän liikenteen tunnistamisen ja estämisen.
Aluksi IDS pystyi havaitsemaan vain haittaohjelmatoiminnan, porttiskannerit tai esimerkiksi käyttäjien yritysten tietoturvakäytäntöjen rikkomukset. Kun tietty tapahtuma tapahtui, he ilmoittivat järjestelmänvalvojalle, mutta nopeasti kävi selväksi, että pelkkä hyökkäyksen tunnistaminen ei riittänyt - se oli estettävä. Joten IDS muuttui IPS:ksi (Intrusion Prevention Systems) - tunkeutumisen estojärjestelmiksi, jotka voivat olla vuorovaikutuksessa palomuurien kanssa.
Havaitsemismenetelmät
Nykyaikaiset tunkeutumisen havainnointi- ja estoratkaisut käyttävät erilaisia menetelmiä haitallisen toiminnan havaitsemiseen, jotka voidaan jakaa kolmeen luokkaan. Tämä antaa meille toisen vaihtoehdon järjestelmien luokitteluun:
- Allekirjoituspohjainen IDS/IPS etsii liikenteestä kuvioita tai seuraa järjestelmän tilan muutoksia havaitakseen verkkohyökkäyksen tai tartuntayrityksen. Ne eivät käytännössä anna sytytyskatkoja ja vääriä positiivisia, mutta eivät pysty havaitsemaan tuntemattomia uhkia;
- Poikkeamien havaitsevat IDS:t eivät käytä hyökkäysallekirjoituksia. Ne tunnistavat tietojärjestelmien epänormaalin toiminnan (mukaan lukien poikkeamat verkkoliikenteessä) ja voivat havaita jopa tuntemattomat hyökkäykset. Tällaiset järjestelmät antavat melko paljon vääriä positiivisia tuloksia, ja jos niitä käytetään väärin, ne lamauttavat paikallisverkon toiminnan;
- Sääntöpohjaiset IDS:t toimivat seuraavasti: jos FACT sitten ACTION. Itse asiassa nämä ovat asiantuntijajärjestelmiä, joissa on tietopohja - joukko tosiasioita ja päättelysääntöjä. Tällaisten ratkaisujen käyttöönotto vie aikaa ja vaatii järjestelmänvalvojalta yksityiskohtaista ymmärrystä verkosta.
IDS-kehityksen historia
Internetin ja yritysverkkojen nopean kehityksen aikakausi alkoi viime vuosisadan 90-luvulla, mutta asiantuntijat hämmästyivät kehittyneistä verkkoturvatekniikoista hieman aikaisemmin. Vuonna 1986 Dorothy Denning ja Peter Neumann julkaisivat IDES-mallin (Intrusion detection expert system), josta tuli nykyaikaisimpien tunkeutumisen havainnointijärjestelmien perusta. Hän käytti asiantuntijajärjestelmää tunnistaakseen tunnettuja hyökkäyksiä sekä tilastollisia menetelmiä ja käyttäjä/järjestelmäprofiileja. IDES suoritti Sun-työasemilla ja tarkasti verkkoliikennettä ja sovellustietoja. Vuonna 1993 julkaistiin NIDES (Seuraavan sukupolven Intrusion Detection Expert System) - uuden sukupolven tunkeutumisen havainnointiasiantuntijajärjestelmä.
Denningin ja Neumannin työhön perustuva MIDAS (Multics intrusion detection and alerting system) -asiantuntijajärjestelmä ilmestyi vuonna 1988, ja siinä käytettiin P-BESTiä ja LISP:tä. Samalla syntyi tilastollisiin menetelmiin perustuva Haystack-järjestelmä. Toinen tilastollinen poikkeamien ilmaisin, W&S (Wisdom & Sense), kehitettiin vuotta myöhemmin Los Alamosin kansallisessa laboratoriossa. Alan kehitys eteni nopeaan tahtiin. Esimerkiksi vuonna 1990 poikkeamien havaitseminen otettiin käyttöön jo TIM-järjestelmässä (Time-based inductive machine), jossa käytettiin induktiivista oppimista peräkkäisillä käyttäjämalleilla (Common LISP-kieli). NSM (Network Security Monitor) vertaili pääsymatriiseja poikkeamien havaitsemiseen, ja ISOA (Information Security Officer's Assistant) tuki erilaisia havaitsemisstrategioita: tilastollisia menetelmiä, profiilin tarkistusta ja asiantuntijajärjestelmää. AT & T Bell Labsissa luotu ComputerWatch-järjestelmä käytti todentamiseen sekä tilastollisia menetelmiä että sääntöjä, ja Kalifornian yliopiston kehittäjät saivat ensimmäisen hajautetun IDS:n prototyypin jo vuonna 1991 - DIDS (Distributed intrusion detection system) oli myös asiantuntija. järjestelmä.
Aluksi IDS oli omistusoikeus, mutta jo vuonna 1998 National Laboratory. Lawrence Berkeleystä julkaisi Bro (nimettiin uudelleen Zeekiksi vuonna 2018), avoimen lähdekoodin järjestelmän, joka käyttää omaa sääntökieltä libpcap-tietojen jäsentämiseen. Saman vuoden marraskuussa ilmestyi libpcapia käyttävä APE-pakettien haistaja, joka kuukautta myöhemmin nimettiin uudelleen Snortiksi ja josta tuli myöhemmin täysivaltainen IDS / IPS. Samaan aikaan alkoi ilmestyä lukuisia patentoituja ratkaisuja.
Snort ja Suricata
Monet yritykset suosivat ilmaista ja avoimen lähdekoodin IDS/IPS:ää. Jo mainittua Snorttia pidettiin pitkään vakioratkaisuna, mutta nyt se on korvattu Suricata-järjestelmällä. Harkitse niiden etuja ja haittoja hieman yksityiskohtaisemmin. Snort yhdistää allekirjoitusmenetelmän edut kykyyn havaita poikkeavuuksia reaaliajassa. Suricata mahdollistaa myös muita menetelmiä hyökkäyksen allekirjoitusten havaitsemisen lisäksi. Järjestelmän loi ryhmä kehittäjiä, jotka erosivat Snort-projektista ja tukee IPS-ominaisuuksia versiosta 1.4 lähtien, kun taas tunkeutumisen esto ilmestyi Snortissa myöhemmin.
Suurin ero näiden kahden suositun tuotteen välillä on Suricatan kyky käyttää GPU:ta IDS-laskentaan sekä kehittyneempää IPS:ää. Järjestelmä suunniteltiin alun perin monisäikeiseen asennukseen, kun taas Snort on yksisäikeinen tuote. Pitkän historiansa ja vanhan koodinsa vuoksi se ei hyödynnä optimaalisesti moniprosessori/moniytiminen laitteistoalustoja, kun taas Suricata pystyy käsittelemään jopa 10 Gbps liikennettä normaaleissa yleiskäyttöisissä tietokoneissa. Voit puhua näiden kahden järjestelmän yhtäläisyydestä ja eroista pitkään, mutta vaikka Suricata-moottori toimii nopeammin, ei liian leveillä kanavilla sillä ole merkitystä.
Käyttöönottovaihtoehdot
IPS on sijoitettava siten, että järjestelmä pystyy valvomaan hallinnassaan olevia verkkosegmenttejä. Useimmiten tämä on omistettu tietokone, jonka yksi käyttöliittymä muodostaa yhteyden reunalaitteiden jälkeen ja "katsoi" niiden läpi suojaamattomiin julkisiin verkkoihin (Internet). Toinen IPS-liitäntä on kytketty suojatun segmentin tuloon niin, että kaikki liikenne kulkee järjestelmän läpi ja analysoidaan. Monimutkaisemmissa tapauksissa suojattuja segmenttejä voi olla useita: esimerkiksi yritysverkoissa demilitarisoitu vyöhyke (DMZ) on usein varattu Internetistä saataville palveluille.
Tällainen IPS voi estää porttien skannauksen tai raa'an voiman hyökkäykset, sähköpostipalvelimen, verkkopalvelimen tai komentosarjojen haavoittuvuuksien hyödyntämisen sekä muun tyyppiset ulkoiset hyökkäykset. Jos paikallisverkon tietokoneet ovat saastuneita haittaohjelmilla, IDS ei anna niiden ottaa yhteyttä ulkopuolella sijaitseviin botnet-palvelimiin. Vakavampi sisäisen verkon suojaus vaatii todennäköisesti monimutkaisen kokoonpanon hajautetun järjestelmän ja kalliiden hallittujen kytkimien kanssa, jotka pystyvät peilaamaan liikennettä johonkin porttiin kytketylle IDS-rajapinnalle.
Usein yritysverkkoihin kohdistuu hajautettuja palvelunestohyökkäyksiä (DDoS). Vaikka nykyaikaiset IDS:t voivat käsitellä niitä, yllä oleva käyttöönottovaihtoehto ei juurikaan auta tässä. Järjestelmä tunnistaa haitallisen toiminnan ja estää väärän liikenteen, mutta tätä varten pakettien tulee kulkea ulkoisen Internet-yhteyden kautta ja päästä sen verkkorajapintaan. Hyökkäyksen voimakkuudesta riippuen tiedonsiirtokanava ei välttämättä kestä kuormitusta ja hyökkääjien tavoite saavutetaan. Tällaisissa tapauksissa suosittelemme IDS:n käyttöönottoa virtuaalipalvelimella, jolla on tiedossa parempi Internet-yhteys. Voit liittää VPS:n paikallisverkkoon VPN:n kautta, minkä jälkeen sinun on määritettävä kaiken ulkoisen liikenteen reititys sen kautta. Sitten DDoS-hyökkäyksen sattuessa sinun ei tarvitse ajaa paketteja yhteyden kautta palveluntarjoajaan, vaan ne estetään ulkoisessa isännässä.
Valinnan ongelma
Ilmaisten järjestelmien joukossa on erittäin vaikea tunnistaa johtajaa. IDS / IPS-valinnan määräävät verkon topologia, tarvittavat suojausominaisuudet sekä järjestelmänvalvojan henkilökohtaiset mieltymykset ja hänen halunsa näpertää asetuksia. Snortilla on pidempi historia ja se on paremmin dokumentoitu, vaikka tietoa Suricatasta on myös helppo löytää verkosta. Joka tapauksessa järjestelmän hallitsemiseksi sinun on ponnisteltava, mikä lopulta maksaa itsensä takaisin - kaupallinen laitteisto ja laitteisto-ohjelmisto IDS / IPS ovat melko kalliita eivätkä aina mahdu budjettiin. Ei kannata katua käytettyä aikaa, sillä hyvä ylläpitäjä parantaa aina pätevyyttään työnantajan kustannuksella. Tässä tilanteessa kaikki voittavat. Seuraavassa artikkelissa tarkastellaan joitain vaihtoehtoja Suricatan käyttöönottoon ja verrataan nykyaikaisempaa järjestelmää perinteiseen IDS/IPS Snortiin käytännössä.
Lähde: will.com