Ar uairibh, ba leor gnáthchlár balla dóiteáin agus frithvíreas chun líonra áitiúil a chosaint, ach níl a leithéid de shraith éifeachtach go leor a thuilleadh i gcoinne ionsaithe hackers nua-aimseartha agus na malware a mhéadaigh le déanaí. Ní dhéanann balla dóiteáin maith ach anailís ar cheanntásca paicéid, rud a ligeann dóibh nó a chuireann bac orthu de réir sraith rialacha foirmiúla. Níl eolas ar bith aige ar a bhfuil sna paicéid, agus mar sin ní féidir leis gníomhartha dlisteanacha na n-ionsaitheoirí a aithint. Ní bhíonn malware i gcónaí ag baint le cláir antivirus, agus mar sin bíonn ar an riarthóir monatóireacht a dhéanamh ar ghníomhaíocht neamhghnácha agus óstaigh ionfhabhtaithe a leithlisiú go tráthúil.
Tá go leor arduirlisí ar fáil chun bonneagar TF cuideachta a chosaint. Sa lá atá inniu beimid ag caint faoi chórais braite agus coiscthe ionsáite foinse oscailte, ar féidir iad a chur i bhfeidhm gan ceadúnais trealaimh agus bogearraí costasach a cheannach.
Aicmiú IDS/IPS
Is córas é IDS (Córas Braite Cur isteach) atá deartha chun gníomhaíochtaí amhrasacha a chlárú ar líonra nó ar ríomhaire aonair. Coinníonn sé logaí imeachtaí agus cuireann sé in iúl don fhostaí atá freagrach as slándáil faisnéise fúthu. Is féidir na gnéithe seo a leanas a idirdhealú mar chuid den IDS:
- braiteoirí chun trácht líonra a fheiceáil, logaí éagsúla, etc.
- fochóras anailíse a shainaithníonn comharthaí tionchair mhailísigh sna sonraí faighte;
- stóráil chun imeachtaí príomhúla a charnadh agus torthaí anailíse;
- consól bainistíochta.
Ar dtús, rinneadh IDS a aicmiú de réir suímh: d'fhéadfaí iad a dhíriú ar nóid aonair a chosaint (Córas Braite Ionsaithe óstach nó Óstach - HIDS) nó an líonra corparáideach iomlán a chosaint (córas braite líonra-bhunaithe nó líonra - NIDS). Is fiú a lua mar a thugtar air APIDS (IDS bunaithe ar phrótacal feidhmchláir): Déanann siad monatóireacht ar shraith teoranta prótacail ar leibhéal an fheidhmchláir chun ionsaithe sonracha a aithint agus ní dhéanann siad anailís dhomhain ar phaicéid líonra. De ghnáth bíonn táirgí den sórt sin cosúil le seachvótálaithe agus úsáidtear iad chun seirbhísí sonracha a chosaint: freastalaí gréasáin agus feidhmchláir ghréasáin (mar shampla, scríofa i PHP), freastalaí bunachar sonraí, etc. Is sampla tipiciúil den aicme seo mod_security do fhreastalaí gréasáin Apache.
Tá níos mó suim againn i NIDS uilíoch a thacaíonn le raon leathan prótacal cumarsáide agus teicneolaíochtaí DPI (Cigireacht Deep Paicéad). Déanann siad monatóireacht ar gach trácht atá ag dul thart, ag tosú ón gciseal naisc sonraí, agus braiteann siad raon leathan ionsaithe líonra, chomh maith le hiarrachtaí ar rochtain neamhúdaraithe ar fhaisnéis. Go minic bíonn ailtireacht dháilte ag córais den sórt sin agus is féidir leo idirghníomhú le trealamh líonra gníomhach éagsúla. Tabhair faoi deara go bhfuil go leor NIDS nua-aimseartha hibrideach agus go gcomhcheanglaíonn siad roinnt cur chuige. Ag brath ar an chumraíocht agus na socruithe, is féidir leo fadhbanna éagsúla a réiteach - mar shampla, nód amháin nó an líonra iomlán a chosaint. Ina theannta sin, ghlac pacáistí frithvíreas ar láimh feidhmeanna IDS do stáisiúin oibre, a d'iompaigh, mar gheall ar scaipeadh Trojans dírithe ar fhaisnéis a ghoid, isteach i mballaí dóiteáin ilfheidhmeacha a réitíonn na fadhbanna a bhaineann le trácht amhrasach a aithint agus a bhlocáil.
Ar dtús, ní fhéadfadh IDS ach gníomhaíocht malware a bhrath, scanóirí calafoirt, nó, abair, sáruithe úsáideoirí ar bheartais slándála corparáideacha. Nuair a tharla teagmhas áirithe, chuir siad in iúl don riarthóir, ach ba léir go tapa nach raibh sé go leor ach an t-ionsaí a aithint - níor mhór bac a chur air. Mar sin, athraíodh IDS ina IPS (Córais Chosc ar Ionradh) - córais um chosc ar ionsá atá in ann idirghníomhú le ballaí dóiteáin.
Modhanna braite
Úsáideann réitigh braite agus coiscthe cur isteach nua-aimseartha modhanna éagsúla chun gníomhaíocht mhailíseach a aithint, ar féidir iad a roinnt i dtrí chatagóir. Tugann sé seo rogha eile dúinn maidir le córais a rangú:
- Aimsíonn IDS/IPS sínithe patrúin sa trácht nó déanann monatóireacht ar athruithe ar staid na gcóras chun ionsaí líonra nó iarracht ionfhabhtaithe a chinneadh. Go praiticiúil ní thugann siad misfires agus rudaí bréagacha dearfacha, ach níl siad in ann bagairtí anaithnide a aithint;
- Ní úsáideann IDSanna a aimsíonn aimhrialtacht sínithe ionsaithe. Aithníonn siad iompar neamhghnácha na gcóras faisnéise (lena n-áirítear aimhrialtachtaí i dtrácht líonra) agus féadann siad fiú ionsaithe anaithnide a bhrath. Tugann córais den sórt sin a lán de na dearfacha bréagacha agus, má úsáidtear iad go mícheart, pairilis oibriú an líonra áitiúil;
- Oibríonn IDS bunaithe ar rialacha ar an bprionsabal: má tá FACT ansin ACTION. Go bunúsach, is córais shaineolach iad seo a bhfuil boinn eolais acu - sraith fíricí agus rialacha tátail loighciúil. Tá diansaothrú ar réitigh dá leithéid le bunú agus éilíonn siad go mbeadh tuiscint mhionsonraithe ag an riarthóir ar an líonra.
Stair na forbartha IDS
Thosaigh ré forbairt go mear ar an Idirlíon agus ar líonraí corparáideacha sna 90í den chéid seo caite, ach bhí na saineolaithe ag cur isteach ar ardteicneolaíochtaí slándála líonra beagán níos luaithe. Sa bhliain 1986, d'fhoilsigh Dorothy Denning agus Peter Neumann an tsamhail IDES (Córas saineolaí um bhrath ionsáite), a tháinig chun bheith mar bhunús leis na córais braite ionsáite is nua-aimseartha. Bhain sé úsáid as sainchóras chun cineálacha aitheanta ionsaithe a shainaithint, chomh maith le modhanna staitistiúla agus próifílí úsáideora/córais. Rith IDES ar stáisiúin oibre Sun, ag iniúchadh trácht líonra agus sonraí feidhmchláir. Sa bhliain 1993, eisíodh NIDES (Córas Saineolaithe um Bhrath Ionsaithe den chéad ghlúin eile) - córas saineolais braite ionsáite den ghlúin nua.
Bunaithe ar obair Denning agus Neumann, tháinig an córas saineolaithe MIDAS (córas braite agus foláirimh il-ionsaí) a úsáideann P-BEST agus LISP i 1988. Ag an am céanna, cruthaíodh córas Haystack bunaithe ar mhodhanna staidrimh. Forbraíodh brathadóir aimhrialtachta staidrimh eile, W&S (Wisdom & Sense), bliain ina dhiaidh sin ag Saotharlann Náisiúnta Los Alamos. Bhí an tionscal ag forbairt ar luas tapa. Mar shampla, i 1990, chuir an córas TIM (Meaisín ionduchtach Ambhunaithe) braite aimhrialtachta i bhfeidhm cheana féin trí úsáid a bhaint as foghlaim ionduchtach ar phatrúin úsáideora seicheamhach (teanga Choiteann LISP). Rinne NSM (Monatóir Slándála Líonra) comparáid idir maitrísí rochtana chun aimhrialtachtaí a bhrath, agus thacaigh ISOA (Cúntóir Oifigeach Slándála Faisnéise) le straitéisí braite éagsúla: modhanna staitistiúla, seiceáil próifíle agus córas saineolaithe. Bhain an córas ComputerWatch a cruthaíodh ag AT&T Bell Labs úsáid as modhanna staitistiúla agus rialacha fíoraithe, agus fuair forbróirí Ollscoil California an chéad fhréamhshamhail de IDS dáilte siar i 1991 - ba shainchóras é DIDS (Córas Braite Ionsaithe Dáilte) freisin.
Ar dtús, bhí IDS dílseánaigh, ach cheana féin i 1998, an tSaotharlann Náisiúnta. D'eisigh Lawrence Berkeley Bro (athainmníodh Zeek in 2018), córas foinse oscailte a úsáideann teanga rialacha dílseánaigh chun anailís a dhéanamh ar shonraí libpcap. I mí na Samhna na bliana céanna, tháinig an sniffer paicéad APE ag baint úsáide as libpcap, a athainmníodh mí ina dhiaidh sin Snort, agus ina dhiaidh sin rinneadh IDS/IPS lán-chuimsitheach. Ag an am céanna, thosaigh réitigh dílseánaigh iomadúla le feiceáil.
Snort agus Suricata
Is fearr le go leor cuideachtaí IDS / IPS foinse oscailte saor in aisce. Ar feadh i bhfad, measadh go raibh an Snort a luadh cheana féin mar an réiteach caighdeánach, ach anois tá sé curtha in ionad an chórais Suricata. Breathnaímid ar a gcuid buntáistí agus míbhuntáistí go mion níos mine. Comhcheanglaíonn Snort na buntáistí a bhaineann le modh sínithe-bhunaithe leis an gcumas aimhrialtachtaí a bhrath i bhfíor-am. Ligeann Suricata duit modhanna eile a úsáid seachas ionsaithe trí shínithe a aithint. Cruthaíodh an córas ag grúpa forbróirí scartha ó thionscadal Snort agus tacaíonn sé le feidhmeanna IPS ag tosú ó leagan 1.4, agus thug Snort isteach an cumas chun cur isteach a chosc níos déanaí.
Is é an príomhdhifríocht idir an dá tháirge tóir ná cumas Suricata úsáid a bhaint as ríomhaireacht GPU i mód IDS, chomh maith leis an IPS níos forbartha. Tá an córas deartha ar dtús le haghaidh il-snáithe, agus is táirge aon-snáithithe é Snort. Mar gheall ar a stair fhada agus a chóid oidhreachta, ní bhaineann sé úsáid optamach as ardáin chrua-earraí ilphróiseálaí/ilchórais, ach is féidir le Suricata trácht suas le 10 Gbps a láimhseáil ar ríomhairí ginearálta ginearálta. Is féidir linn labhairt le fada an lá faoi na cosúlachtaí agus na héagsúlachtaí idir an dá chóras, ach cé go n-oibríonn an t-inneall Suricata níos tapúla, níl tábhacht bhunúsach leis seo i gcás bealaí nach bhfuil ró-leathan.
Roghanna Imlonnaithe
Ní mór an IPS a chur sa chaoi is gur féidir leis an gcóras monatóireacht a dhéanamh ar na codanna líonra atá faoina smacht. Go minic, is ríomhaire tiomnaithe é seo, a bhfuil comhéadan amháin de ceangailte i ndiaidh na bhfeistí imeall agus “féachann” tríothu isteach i líonraí poiblí gan chosaint (an tIdirlíon). Tá comhéadan IPS eile ceangailte le hionchur na míre cosanta ionas go dtéann an trácht go léir tríd an gcóras agus go ndéantar anailís air. I gcásanna níos casta, d'fhéadfadh go mbeadh roinnt deighleoga cosanta ann: mar shampla, i líonraí corparáideacha, is minic a leithdháiltear crios dí-mhíleataithe (DMZ) le seirbhísí atá inrochtana ón Idirlíon.
Is féidir le IPS den sórt sin scanadh calafoirt nó ionsaithe fórsa brute pasfhocail a chosc, leochaileachtaí a shaothrú sa fhreastalaí ríomhphoist, ar fhreastalaí gréasáin nó ar scripteanna, chomh maith le cineálacha eile ionsaithe seachtracha. Má tá ríomhairí ar an líonra áitiúil ionfhabhtaithe le malware, ní cheadóidh IDS dóibh teagmháil a dhéanamh leis na freastalaithe botnet atá suite lasmuigh. Chun an líonra inmheánach a chosaint ar bhealach níos tromchúisí, is dócha go mbeidh gá le cumraíocht chasta ina bhfuil córas dáilte agus lasca costasacha bainistithe a bheidh in ann trácht a léiriú don chomhéadan IDS atá nasctha le ceann de na calafoirt.
Is minic a bhíonn líonraí corparáideacha faoi réir ionsaithe dáilte seirbhíse a dhiúltú (DDoS). Cé gur féidir le IDS nua-aimseartha déileáil leo, ní dócha go gcuideoidh an rogha imlonnaithe thuas anseo. Aithneoidh an córas gníomhaíocht mhailíseach agus cuirfidh sé bac ar thrácht bhréagach, ach chun é seo a dhéanamh, caithfidh na paicéid dul trí nasc Idirlín seachtrach agus a chomhéadan líonra a bhaint amach. Ag brath ar dhéine an ionsaí, b'fhéidir nach mbeidh an cainéal tarchurtha sonraí in ann déileáil leis an ualach agus bainfear amach sprioc an ionsaitheora. I gcásanna den sórt sin, molaimid IDS a imscaradh ar fhreastalaí fíorúil a bhfuil nasc Idirlín níos cumhachtaí ar ndóigh. Is féidir leat an VPS a nascadh leis an líonra áitiúil trí VPN, agus ansin beidh ort ródú a dhéanamh ar gach trácht seachtrach tríd. Ansin, i gcás ionsaí DDoS, ní bheidh ort paicéid a sheoladh tríd an nasc chuig an soláthraí; cuirfear bac orthu ar an nód seachtrach.
Fadhb rogha
Tá sé an-deacair ceannaire a aithint i measc na gcóras saor in aisce. Cinneann topology an líonra, na feidhmeanna slándála riachtanacha, chomh maith le roghanna pearsanta an riarthóra agus a mhian a bheith ag tinker leis na socruithe, an rogha IDS/IPS. Tá stair níos faide ag Snort agus tá sé doiciméadaithe níos fearr, cé gur furasta faisnéis ar Suricata a fháil ar líne freisin. Ar aon nós, le máistreacht a fháil ar an gcóras beidh ort roinnt iarrachtaí a dhéanamh, rud a éireoidh as - tá crua-earraí tráchtála agus bogearraí crua-earraí IDS/IPS costasach go leor agus ní luíonn siad isteach sa bhuiséad i gcónaí. Ní fiú aiféala a bheith ort am amú, mar go bhfeabhsaíonn riarthóir maith a chuid scileanna i gcónaí ar chostas an fhostóra. Sa chás seo, bíonn bua ag gach duine. Sa chéad alt eile féachfaimid ar roinnt roghanna imscaradh Suricata agus cuirfimid córas níos nua-aimseartha i gcomparáid leis an IDS/IPS Snort clasaiceach i gcleachtas.
Foinse: will.com