Eartiids wiene in gewoane brânmuorre en anty-firusprogramma's genôch om in lokaal netwurk te beskermjen, mar sa'n set is net mear effektyf genôch tsjin de oanfallen fan moderne hackers en de malware dy't koartlyn ferspraat is. In goede âlde brânmuorre analysearret allinich pakketkoppen, wêrtroch't se neffens in set fan formele regels tastean of blokkearje. It wit neat oer de ynhâld fan 'e pakketten, en kin dêrom de skynber legitime aksjes fan oanfallers net werkenne. Antivirusprogramma's fange net altyd malware, sadat de behearder te krijen hat mei de taak om abnormale aktiviteit te kontrolearjen en ynfekteare hosts op 'e tiid te isolearjen.
D'r binne in protte avansearre ark beskikber om de IT-ynfrastruktuer fan in bedriuw te beskermjen. Hjoed sille wy prate oer iepen boarne ynbraakdeteksje en previnsjesystemen, dy't kinne wurde ymplementearre sûnder djoere apparatuer en softwarelisinsjes te keapjen.
IDS / IPS klassifikaasje
IDS (Intrusion Detection System) is in systeem ûntworpen om fertochte aktiviteiten te registrearjen op in netwurk of op in yndividuele kompjûter. It hâldt barren logs en notify de meiwurker ferantwurdlik foar ynformaasje feiligens oer harren. De folgjende eleminten kinne wurde ûnderskieden as ûnderdiel fan 'e IDS:
- sensors foar it besjen fan netwurkferkear, ferskate logs, ensfh.
- in analyse-subsysteem dat tekens identifisearret fan kweade ynfloed yn 'e ûntfongen gegevens;
- opslach foar accumulation fan primêre eveneminten en analyseresultaten;
- behear konsole.
Yn earste ynstânsje waarden IDS klassifisearre troch lokaasje: se koenen wurde rjochte op it beskermjen fan yndividuele knooppunten (host-basearre of Host Intrusion Detection System - HIDS) of it beskermjen fan it hiele bedriuwsnetwurk (netwurk-basearre of Network Intrusion Detection System - NIDS). It is it neamen wurdich de saneamde APIDS (Applikaasjeprotokol-basearre IDS): Se kontrolearje in beheinde set fan protokollen op tapassingsnivo om spesifike oanfallen te identifisearjen en dogge gjin djippe analyse fan netwurkpakketten. Sokke produkten lykje meast op proxy's en wurde brûkt om spesifike tsjinsten te beskermjen: in webserver en webapplikaasjes (bygelyks skreaun yn PHP), in databanktsjinner, ensfh. In typysk foarbyld fan dizze klasse is mod_security foar de Apache-webserver.
Wy binne mear ynteressearre yn universele NIDS dy't stypje in breed skala oan kommunikaasje protokollen en DPI (Deep Packet Inspection) technologyen. Se kontrolearje alle trochrinnende ferkear, begjinnend fan 'e gegevenskeppelingslaach, en detektearje in breed oanbod fan netwurkoanfallen, lykas besykjen op unautorisearre tagong ta ynformaasje. Faak hawwe sokke systemen in ferspraat arsjitektuer en kinne ynteraksje mei ferskate aktive netwurkapparatuer. Tink derom dat in protte moderne NIDS hybride binne en ferskate oanpak kombinearje. Ofhinklik fan 'e konfiguraasje en ynstellingen kinne se ferskate problemen oplosse - bygelyks it beskermjen fan ien knooppunt of it heule netwurk. Derneist waarden de funksjes fan IDS foar wurkstasjons oernommen troch anty-firuspakketten, dy't, troch de fersprieding fan Trojans dy't rjochte binne op it stellen fan ynformaasje, feroare yn multyfunksjonele firewalls dy't ek de problemen oplosse fan it erkennen en blokkearjen fan fertocht ferkear.
Yn earste ynstânsje koe IDS allinich malware-aktiviteit, havenscanners, of, sis, brûker oertredings fan bedriuwsfeiligensbelied detectearje. Doe't in bepaald barren barde, melde se de behearder, mar it waard al gau dúdlik dat it gewoan erkennen fan 'e oanfal net genôch wie - it moast blokkearre wurde. Dat IDS waarden omfoarme ta IPS (Intrusion Prevention Systems) - systemen foar ynbraakprevinsje dy't kinne ynteraksje mei firewalls.
Detection metoaden
Moderne oplossings foar ynbraakdeteksje en previnsje brûke in ferskaat oan metoaden om kweade aktiviteit te identifisearjen, dy't kinne wurde ferdield yn trije kategoryen. Dit jout ús in oare opsje foar it klassifisearjen fan systemen:
- Hantekening-basearre IDS / IPS detektearje patroanen yn ferkear of kontrolearje feroarings yn 'e steat fan systemen om in netwurkoanfal of ynfeksjepoging te bepalen. Se jouwe praktysk gjin misfires en falske positiven, mar binne net yn steat om ûnbekende bedrigingen te identifisearjen;
- Anomaly-detektearjende IDS's brûke gjin oanfalshântekeningen. Se werkenne abnormaal gedrach fan ynformaasjesystemen (ynklusyf anomalies yn netwurkferkear) en kinne sels ûnbekende oanfallen detectearje. Sokke systemen jouwe in soad falske positives en, as it ferkeard brûkt wurdt, paralysearje de wurking fan it lokale netwurk;
- Regel-basearre IDS wurket op it prinsipe: as FEIT dan ACTION. Yn essinsje binne dit saakkundige systemen mei kennisbases - in set fan feiten en regels fan logyske konklúzje. Sokke oplossings binne arbeidsintensyf om op te setten en fereaskje dat de behearder in detaillearre begryp hat fan it netwurk.
Skiednis fan IDS ûntwikkeling
It tiidrek fan rappe ûntwikkeling fan it ynternet en bedriuwsnetwurken begûn yn 'e jierren '90 fan' e foarige ieu, mar saakkundigen waarden fernuvere troch avansearre netwurk feiligens technologyen in bytsje earder. Yn 1986 publisearren Dorothy Denning en Peter Neumann it IDES-model (Intrusion Detection Expert System), dat de basis waard fan de measte moderne ynbraakdeteksjesystemen. It brûkte in saakkundich systeem om bekende oanfalstypen te identifisearjen, lykas statistyske metoaden en brûkers-/systeemprofilen. IDES rûn op Sun-wurkstasjons, ynspektearjen fan netwurkferkear en applikaasjegegevens. Yn 1993 waard NIDES (Next-generation Intrusion Detection Expert System) frijlitten - in nije generaasje ekspertsysteem foar ynbraakdeteksje.
Op grûn fan it wurk fan Denning en Neumann ferskynde it MIDAS (Multics-ynbraakdeteksje- en warskôgingssysteem) ekspertsysteem mei P-BEST en LISP yn 1988. Tagelyk is it Haystack-systeem basearre op statistyske metoaden makke. In oare statistyske anomaly-detektor, W&S (Wisdom & Sense), waard in jier letter ûntwikkele by Los Alamos National Laboratory. De yndustry ûntwikkele him yn rap tempo. Bygelyks, yn 1990 hat it TIM (Tiid-basearre induktive masine) systeem al anomalydeteksje ymplementearre mei induktyf learen op opfolgjende brûkerspatroanen (Common LISP language). NSM (Network Security Monitor) fergelike tagongsmatriks om anomalies te detektearjen, en ISOA (Assistent fan Information Security Officer) stipe ferskate deteksjestrategyen: statistyske metoaden, profylkontrôle en ekspertsysteem. It ComputerWatch-systeem makke by AT&T Bell Labs brûkte statistyske metoaden en regels foar ferifikaasje, en de ûntwikkelders fan 'e Universiteit fan Kalifornje krigen it earste prototype fan in ferspraat IDS werom yn 1991 - DIDS (Distributed Intrusion Detection System) wie ek in saakkundich systeem.
Earst wie IDS eigen, mar al yn 1998, it Nasjonaal Laboratoarium. Lawrence Berkeley publisearre Bro (omneamd Zeek yn 2018), in iepen boarne systeem dat in proprietêre regelstaal brûkt foar it analysearjen fan libpcap-gegevens. Yn novimber fan datselde jier ferskynde de APE-pakketsnuffer mei libpcap, dy't in moanne letter omneamd waard ta Snort, en letter in folweardich IDS/IPS waard. Tagelyk begonen ferskate proprietêre oplossingen te ferskinen.
Snort en Suricata
In protte bedriuwen leaver fergees en iepen boarne IDS / IPS. Lange tiid waard it al neamde Snort beskôge as de standertoplossing, mar no is it ferfongen troch it Suricata-systeem. Litte wy har foardielen en neidielen yn in bytsje mear detaillearje. Snort kombineart de foardielen fan in hântekening-basearre metoade mei de mooglikheid om anomalies yn echte tiid te ûntdekken. Suricata lit jo ek oare metoaden brûke njonken it herkennen fan oanfallen troch hantekeningen. It systeem is makke troch in groep ûntwikkelders skieden fan it Snort-projekt en stipet IPS-funksjes fanôf ferzje 1.4, en Snort yntrodusearre de mooglikheid om letter ynbraken te foarkommen.
It wichtichste ferskil tusken de twa populêre produkten is Suricata's fermogen om GPU-komputerjen te brûken yn IDS-modus, lykas ek de mear avansearre IPS. It systeem is yn earste ynstânsje ûntwurpen foar multi-threading, wylst Snort in single-threaded produkt is. Troch syn lange skiednis en legacy koade, brûkt it multiprocessor / multicore hardware platfoarms net optimaal, wylst Suricata ferkear kin omgean oant 10 Gbps op gewoane kompjûters foar algemiene doelen. Wy kinne lang prate oer de oerienkomsten en ferskillen tusken de twa systemen, mar hoewol de Suricata-motor flugger wurket, is dit foar net te brede kanalen net fan fûneminteel belang.
Ynset opsjes
De IPS moat op sa'n manier pleatst wurde dat it systeem de netwurksegminten ûnder syn kontrôle kin kontrolearje. Meastentiids is dit in tawijd komputer, wêrfan ien ynterface is ferbûn nei de râneapparaten en "sjocht" troch har yn unbeskerme iepenbiere netwurken (ynternet). In oare IPS-ynterface is ferbûn mei de ynfier fan it beskerme segmint, sadat alle ferkear troch it systeem giet en wurdt analysearre. Yn mear komplekse gefallen kinne d'r ferskate beskerme segminten wêze: bygelyks yn bedriuwsnetwurken wurdt in demilitarisearre sône (DMZ) faak tawiisd mei tsjinsten dy't tagonklik binne fan it ynternet.
Sa'n IPS kin poarte skennen of wachtwurd brute force oanfallen foarkomme, eksploitaasje fan kwetsberens yn 'e e-posttsjinner, webserver of skripts, lykas ek oare soarten eksterne oanfallen. As kompjûters op it lokale netwurk binne ynfekteare mei malware, sil IDS har net tastean om kontakt te meitsjen mei de botnet-tsjinners dy't bûten lizze. Foar mear serieuze beskerming fan it ynterne netwurk, in komplekse konfiguraasje mei in ferspraat systeem en djoere behearde skeakels dy't by steat binne om ferkear te spegeljen foar de IDS-ynterface ferbûn mei ien fan 'e havens sil nei alle gedachten nedich wêze.
Bedriuwsnetwurken binne faak ûnderwurpen oan ferdielde denial of service (DDoS) oanfallen. Hoewol moderne IDS mei har omgean kin, is de boppesteande ynsetopsje hjir net wierskynlik te helpen. It systeem sil kweade aktiviteit werkenne en falsk ferkear blokkearje, mar om dit te dwaan moatte de pakketten troch in eksterne ynternetferbining passe en har netwurkynterface berikke. Ofhinklik fan 'e yntinsiteit fan' e oanfal kin it gegevensferfierkanaal miskien net mei de lading omgean en it doel fan 'e oanfallers sil wurde berikt. Foar sokke gefallen riede wy oan om IDS yn te setten op in firtuele tsjinner mei in fansels krêftiger ynternetferbining. Jo kinne de VPS ferbine mei it lokale netwurk fia in VPN, en dan moatte jo de rûte fan alle eksterne ferkear dêrtroch ynstelle. Dan, yn it gefal fan in DDoS-oanfal, hoege jo gjin pakketten te stjoeren fia de ferbining nei de provider; se sille wurde blokkearre op it eksterne knooppunt.
Problem fan kar
It is heul lestich om in lieder te identifisearjen ûnder fergese systemen. De kar foar IDS / IPS wurdt bepaald troch de netwurktopology, de fereaske feiligensfunksjes, lykas de persoanlike foarkarren fan 'e behearder en syn winsk om te tinken mei de ynstellings. Snort hat in langere skiednis en is better dokumintearre, hoewol ynformaasje oer Suricata ek maklik online te finen is. Yn alle gefallen, om it systeem te behearskjen, moatte jo wat ynspannings meitsje, wat úteinlik sil betelje - kommersjele hardware en hardware-software IDS / IPS binne frij djoer en passe net altyd yn 'e begrutting. It hat gjin sin om spijt te hawwen fan fergriemde tiid, om't in goede admin syn feardichheden altyd ferbetteret op kosten fan 'e wurkjouwer. Yn dizze situaasje wint elkenien. Yn it folgjende artikel sille wy nei guon Suricata-ynsetopsjes sjen en in moderner systeem fergelykje mei de klassike IDS / IPS Snort yn 'e praktyk.
Boarne: www.habr.com