Il était une fois, un pare-feu et des programmes antivirus ordinaires suffisaient à protéger le réseau local, mais un tel ensemble n'est plus assez efficace contre les attaques des pirates modernes et les logiciels malveillants qui ont récemment proliféré. Le bon vieux pare-feu analyse uniquement les en-têtes de paquets, les passant ou les bloquant conformément à un ensemble de règles formelles. Il ne sait rien du contenu des packages et ne peut donc pas reconnaître les actions apparemment légitimes des intrus. Les programmes antivirus ne détectent pas toujours les logiciels malveillants, de sorte que l'administrateur est confronté à la tâche de surveiller les activités anormales et d'isoler les hôtes infectés en temps opportun.
Il existe de nombreux outils avancés qui permettent de protéger l'infrastructure informatique de l'entreprise. Aujourd'hui, nous allons parler de systèmes de détection et de prévention des intrusions open source qui peuvent être mis en œuvre sans acheter de matériel et de licences logicielles coûteux.
Classement IDS/IPS
IDS (Intrusion Detection System) est un système conçu pour enregistrer les activités suspectes sur un réseau ou sur un ordinateur séparé. Il tient à jour des journaux d'événements et en informe la personne responsable de la sécurité de l'information. L'IDS comprend les éléments suivants :
- capteurs pour visualiser le trafic réseau, divers journaux, etc.
- un sous-système d'analyse qui détecte des signes d'effets nuisibles dans les données reçues ;
- stockage pour l'accumulation des événements primaires et des résultats d'analyse ;
- pupitre de gestion.
Initialement, les IDS étaient classés par emplacement : ils pouvaient se concentrer sur la protection de nœuds individuels (basé sur l'hôte ou Host Intrusion Detection System - HIDS) ou sur la protection de l'ensemble du réseau d'entreprise (basé sur le réseau ou Network Intrusion Detection System - NIDS). Il convient de mentionner le soi-disant. APIDS (Application protocol-based IDS) : ils surveillent un ensemble limité de protocoles de couche application pour détecter des attaques spécifiques et n'analysent pas en profondeur les paquets réseau. De tels produits ressemblent généralement à des proxies et sont utilisés pour protéger des services spécifiques : serveur Web et applications Web (par exemple, écrits en PHP), serveurs de bases de données, etc. Un représentant typique de cette classe est mod_security pour le serveur Web Apache.
Nous nous intéressons davantage aux NIDS universels qui prennent en charge une large gamme de protocoles de communication et de technologies d'analyse de paquets DPI (Deep Packet Inspection). Ils surveillent tout le trafic passant, à partir de la couche de liaison de données, et détectent un large éventail d'attaques de réseau, ainsi que l'accès non autorisé aux informations. Souvent, ces systèmes ont une architecture distribuée et peuvent interagir avec divers équipements de réseau actifs. Notez que de nombreux NIDS modernes sont hybrides et combinent plusieurs approches. Selon la configuration et les paramètres, ils peuvent résoudre divers problèmes - par exemple, protéger un nœud ou l'ensemble du réseau. De plus, les fonctions d'IDS pour les postes de travail ont été reprises par des packages antivirus qui, en raison de la propagation de chevaux de Troie visant à voler des informations, se sont transformés en pare-feu multifonctionnels qui résolvent également les tâches de reconnaissance et de blocage du trafic suspect.
Initialement, IDS ne pouvait détecter que les activités malveillantes, les scanners de ports ou, par exemple, les violations par les utilisateurs des politiques de sécurité de l'entreprise. Lorsqu'un certain événement s'est produit, ils ont informé l'administrateur, mais il est rapidement devenu évident que la simple reconnaissance de l'attaque ne suffisait pas - il fallait la bloquer. Ainsi, IDS s'est transformé en IPS (Intrusion Prevention Systems) - des systèmes de prévention des intrusions qui peuvent interagir avec les pare-feu.
Méthodes de détection
Les solutions modernes de détection et de prévention des intrusions utilisent diverses méthodes pour détecter les activités malveillantes, qui peuvent être divisées en trois catégories. Cela nous donne une autre option pour classer les systèmes :
- Les IDS/IPS basés sur les signatures recherchent des modèles dans le trafic ou surveillent les changements d'état du système pour détecter une attaque réseau ou une tentative d'infection. Ils ne donnent pratiquement pas de ratés et de faux positifs, mais ne sont pas en mesure d'identifier les menaces inconnues;
- Les IDS de détection d'anomalies n'utilisent pas de signatures d'attaque. Ils reconnaissent les comportements anormaux des systèmes d'information (y compris les anomalies dans le trafic réseau) et peuvent détecter même les attaques inconnues. De tels systèmes donnent beaucoup de faux positifs et, s'ils sont mal utilisés, paralysent le fonctionnement du réseau local ;
- Les IDS basés sur des règles fonctionnent comme suit : si FACT alors ACTION. En fait, ce sont des systèmes experts avec des bases de connaissances - un ensemble de faits et de règles d'inférence. De telles solutions prennent du temps à mettre en place et nécessitent que l'administrateur ait une compréhension détaillée du réseau.
Historique du développement de l'IDS
L'ère du développement rapide d'Internet et des réseaux d'entreprise a commencé dans les années 90 du siècle dernier, cependant, les experts ont été intrigués par les technologies avancées de sécurité des réseaux un peu plus tôt. En 1986, Dorothy Denning et Peter Neumann ont publié le modèle IDES (Intrusion detection expert system), qui est devenu la base de la plupart des systèmes modernes de détection d'intrusion. Elle a utilisé un système expert pour identifier les attaques connues, ainsi que des méthodes statistiques et des profils utilisateur/système. IDES s'exécutait sur les stations de travail Sun, vérifiant le trafic réseau et les données d'application. En 1993, NIDES (Système expert de détection d'intrusion de nouvelle génération) a été lancé - un système expert de détection d'intrusion de nouvelle génération.
Basé sur les travaux de Denning et Neumann, le système expert MIDAS (Multics intrusion detection and alerting system) est apparu en 1988, utilisant P-BEST et LISP. Dans le même temps, le système Haystack basé sur des méthodes statistiques a été créé. Un autre détecteur d'anomalies statistiques, W&S (Wisdom & Sense), a été développé un an plus tard au Laboratoire national de Los Alamos. Le développement de l'industrie s'est déroulé à un rythme rapide. Par exemple, en 1990, la détection d'anomalies était déjà implémentée dans le système TIM (Time-based inductive machine) utilisant l'apprentissage inductif sur des patrons séquentiels d'utilisateurs (langage Common LISP). NSM (Network Security Monitor) a comparé des matrices d'accès pour la détection d'anomalies, et ISOA (Information Security Officer's Assistant) a soutenu diverses stratégies de détection : méthodes statistiques, vérification de profil et système expert. Le système ComputerWatch créé chez AT & T Bell Labs utilisait à la fois des méthodes statistiques et des règles de vérification, et les développeurs de l'Université de Californie ont reçu le premier prototype d'un IDS distribué en 1991 - DIDS (système de détection d'intrusion distribué) était également un expert système.
Au début, les IDS étaient propriétaires, mais déjà en 1998, le Laboratoire National. Lawrence à Berkeley a publié Bro (renommé Zeek en 2018), un système open source qui utilise son propre langage de règles pour analyser les données libpcap. En novembre de la même année, le renifleur de paquets APE utilisant libpcap est apparu, qui un mois plus tard a été renommé Snort, et est devenu plus tard un IDS / IPS à part entière. Parallèlement, de nombreuses solutions propriétaires ont commencé à apparaître.
Snort et Suricata
De nombreuses entreprises préfèrent les IDS/IPS gratuits et open source. Pendant longtemps, le Snort déjà mentionné a été considéré comme la solution standard, mais il a maintenant été remplacé par le système Suricata. Considérez leurs avantages et inconvénients un peu plus en détail. Snort combine les avantages d'une méthode de signature avec la détection d'anomalies en temps réel. Suricata permet également d'autres méthodes que la détection de signature d'attaque. Le système a été créé par un groupe de développeurs qui se sont séparés du projet Snort et prend en charge les fonctionnalités IPS depuis la version 1.4, tandis que la prévention des intrusions est apparue plus tard dans Snort.
La principale différence entre les deux produits populaires est la capacité de Suricata à utiliser le GPU pour le calcul IDS, ainsi que l'IPS plus avancé. Le système a été conçu à l'origine pour le multi-threading, tandis que Snort est un produit à thread unique. En raison de sa longue histoire et de son code hérité, il n'utilise pas de manière optimale les plates-formes matérielles multiprocesseurs/multicœurs, tandis que Suricata peut gérer un trafic jusqu'à 10 Gbit/s sur des ordinateurs à usage général normaux. Vous pouvez parler longtemps des similitudes et des différences entre les deux systèmes, mais bien que le moteur Suricata fonctionne plus rapidement, cela n'a pas d'importance pour les canaux pas trop larges.
Options de déploiement
L'IPS doit être placé de manière à ce que le système puisse surveiller les segments de réseau sous son contrôle. Le plus souvent, il s'agit d'un ordinateur dédié, dont une interface se connecte après les périphériques périphériques et «regarde» à travers eux vers des réseaux publics non sécurisés (Internet). Une autre interface IPS est connectée à l'entrée du segment protégé afin que tout le trafic passe par le système et soit analysé. Dans les cas plus complexes, il peut y avoir plusieurs segments protégés : par exemple, dans les réseaux d'entreprise, une zone démilitarisée (DMZ) est souvent allouée avec des services accessibles depuis Internet.
Un tel IPS peut empêcher l'analyse des ports ou les attaques par force brute, l'exploitation des vulnérabilités du serveur de messagerie, du serveur Web ou des scripts, ainsi que d'autres types d'attaques externes. Si les ordinateurs du réseau local sont infectés par des logiciels malveillants, IDS ne leur permettra pas de contacter les serveurs botnet situés à l'extérieur. Une protection plus sérieuse du réseau interne nécessitera très probablement une configuration complexe avec un système distribué et des commutateurs gérés coûteux capables de refléter le trafic pour une interface IDS connectée à l'un des ports.
Les réseaux d'entreprise sont souvent soumis à des attaques par déni de service distribué (DDoS). Bien que les IDS modernes puissent les gérer, l'option de déploiement ci-dessus est de peu d'aide ici. Le système reconnaît les activités malveillantes et bloque le trafic parasite, mais pour cela, les paquets doivent passer par une connexion Internet externe et atteindre son interface réseau. Selon l'intensité de l'attaque, le canal de transmission de données peut ne pas être en mesure de faire face à la charge et l'objectif des attaquants sera atteint. Dans de tels cas, nous vous recommandons de déployer IDS sur un serveur virtuel avec une meilleure connexion Internet connue. Vous pouvez connecter le VPS au réseau local via un VPN, puis vous devrez configurer le routage de tout le trafic externe à travers celui-ci. Ensuite, en cas d'attaque DDoS, vous n'aurez pas à faire passer les paquets par la connexion au fournisseur, ils seront bloqués sur l'hôte externe.
Problème de choix
Il est très difficile d'identifier un leader parmi les systèmes libres. Le choix d'IDS / IPS est déterminé par la topologie du réseau, les fonctionnalités de sécurité nécessaires, ainsi que les préférences personnelles de l'administrateur et son désir de jouer avec les paramètres. Snort a une histoire plus longue et est mieux documentée, bien que les informations sur Suricata soient également faciles à trouver en ligne. Dans tous les cas, pour maîtriser le système, vous devrez faire quelques efforts, qui finiront par payer - le matériel commercial et le matériel-logiciel IDS / IPS sont assez chers et ne rentrent pas toujours dans le budget. Il ne faut pas regretter le temps passé, car un bon administrateur améliore toujours ses qualifications aux dépens de l'employeur. Dans cette situation, tout le monde est gagnant. Dans le prochain article, nous examinerons quelques options pour déployer Suricata et comparerons le système plus moderne avec le classique IDS/IPS Snort dans la pratique.
Source: habr.com