Uair dhe na h-uairean, bha balla-teine àbhaisteach agus prògraman anti-bhìoras gu leòr airson lìonra ionadail a dhìon, ach chan eil an leithid de sheata èifeachdach gu leòr tuilleadh an-aghaidh ionnsaighean luchd-hackers an latha an-diugh agus an malware a tha air a dhol am meud o chionn ghoirid. Chan eil seann bhalla-teine math a 'dèanamh anailis ach air cinn pacaid, a' ceadachadh no gan bacadh a rèir seata de riaghailtean foirmeil. Chan eil fios aige mu na tha anns na pacaidean, agus mar sin chan urrainn dha gnìomhan luchd-ionnsaigh a tha coltach gu dligheach aithneachadh. Cha bhith prògraman antivirus an-còmhnaidh a’ glacadh malware, agus mar sin tha an obair aig an rianaire sùil a chumail air gnìomhachd neo-àbhaisteach agus a bhith a’ dealachadh luchd-aoigheachd gabhaltach ann an deagh àm.
Tha mòran innealan adhartach rim faighinn gus bun-structar IT companaidh a dhìon. An-diugh bruidhnidh sinn mu shiostaman lorg agus casg sàrachadh stòr fosgailte, a dh’ fhaodar a chuir an gnìomh gun a bhith a ’ceannach uidheamachd daor agus ceadan bathar-bog.
Seòrsachadh IDS/IPS
Is e siostam a th’ ann an IDS (Siostam Lorgaidh Sàthachaidh) a chaidh a dhealbhadh gus gnìomhan amharasach a chlàradh air lìonra no air coimpiutair fa-leth. Bidh e a’ cumail logaichean tachartais agus a’ cur fios chun neach-obrach le uallach airson tèarainteachd fiosrachaidh mun deidhinn. Faodar na h-eileamaidean a leanas a chomharrachadh mar phàirt den IDS:
- mothachairean airson trafaic lìonra fhaicinn, diofar logaichean, msaa.
- fo-shiostam anailis a tha a’ comharrachadh comharran droch bhuaidh anns an dàta a fhuaireadh;
- stòradh airson cruinneachadh de phrìomh thachartasan agus toraidhean anailis;
- consol stiùiridh.
An toiseach, bha IDS air an seòrsachadh a rèir àite: dh'fhaodadh iad a bhith ag amas air a bhith a 'dìon nodan fa leth (stèidhichte air aoigheachd no Siostam Dearbhaidh Inntrigidh Host - HIDS) no dìon an lìonra corporra gu lèir (stèidhichte air lìonra no Siostam Lorgaidh Inntrigidh Lìonra - NIDS). Is fhiach iomradh a thoirt air mar a chanar ris APIDS (IDS stèidhichte air protocol tagraidh): Bidh iad a’ cumail sùil air seata cuibhrichte de phròtacalan ìre tagraidh gus ionnsaighean sònraichte a chomharrachadh agus cha bhith iad a’ dèanamh mion-sgrùdadh domhainn air pacaidean lìonra. Mar as trice bidh toraidhean mar seo coltach ri proxies agus air an cleachdadh gus seirbheisean sònraichte a dhìon: frithealaiche lìn agus tagraidhean lìn (mar eisimpleir, sgrìobhte ann am PHP), frithealaiche stòr-dàta, msaa. Is e eisimpleir àbhaisteach den chlas seo mod_security airson frithealaiche lìn Apache.
Tha barrachd ùidh againn ann an NIDS uile-choitcheann a bheir taic do raon farsaing de phròtacalan conaltraidh agus teicneòlasan DPI (Sgrùdadh Pacaid domhainn). Bidh iad a’ cumail sùil air a h-uile trafaic a tha a’ dol seachad, a’ tòiseachadh bhon ìre ceangail dàta, agus a’ lorg raon farsaing de dh’ ionnsaighean lìonra, a bharrachd air oidhirpean air ruigsinneachd gun chead air fiosrachadh. Gu math tric tha ailtireachd sgaoilte aig na siostaman sin agus faodaidh iad eadar-obrachadh le diofar uidheamachd lìonra gnìomhach. Thoir an aire gu bheil mòran de NIDS an latha an-diugh tar-chinealach agus a’ cothlamadh grunn dhòighean-obrach. A rèir an rèiteachaidh agus na roghainnean, faodaidh iad diofar dhuilgheadasan fhuasgladh - mar eisimpleir, dìon aon nód no an lìonra gu lèir. A bharrachd air an sin, chaidh gnìomhan IDS airson ionadan-obrach a ghabhail thairis le pasganan an-aghaidh bhìoras, a thionndaidh, mar thoradh air sgaoileadh Trojans a bha ag amas air fiosrachadh a ghoid, gu bhith nan ballachan teine ioma-ghnìomhach a bhios cuideachd a ’fuasgladh nan duilgheadasan a thaobh a bhith ag aithneachadh agus a’ bacadh trafaic amharasach.
An toiseach, cha b 'urrainn do IDS ach gnìomhachd malware a lorg, sganairean puirt, no, can, brisidhean luchd-cleachdaidh air poileasaidhean tèarainteachd corporra. Nuair a thachair tachartas sònraichte, chuir iad fios chun rianadair, ach dh'fhàs e soilleir gu luath nach robh e gu leòr ag aithneachadh an ionnsaigh - dh'fheumadh e a bhith air a bhacadh. Mar sin chaidh IDS atharrachadh gu IPS (Siostam Bacadh Sàrachaidh) - siostaman casg sàrachaidh a tha comasach air eadar-obrachadh le ballachan teine.
Dòighean lorgaidh
Bidh fuasglaidhean lorg agus casg sàrachadh ùr-nodha a’ cleachdadh grunn dhòighean gus gnìomhachd droch-rùnach a chomharrachadh, a dh’ fhaodar a roinn ann an trì roinnean. Bheir seo dhuinn roghainn eile airson siostaman seòrsachaidh:
- Bidh IDS/IPS stèidhichte air ainm-sgrìobhte a’ lorg pàtrain ann an trafaic no a’ cumail sùil air atharrachaidhean ann an staid shiostaman gus ionnsaigh lìonra no oidhirp gabhaltachd a dhearbhadh. Cha mhòr nach eil iad a’ toirt seachad mealltaichean agus nithean ceàrr, ach chan urrainn dhaibh bagairtean neo-aithnichte aithneachadh;
- Cha bhith IDSan lorg neo-riaghailteachd a’ cleachdadh ainmean-ionnsaigh ionnsaigh. Bidh iad ag aithneachadh giùlan neo-àbhaisteach de shiostaman fiosrachaidh (a’ toirt a-steach neo-riaghailteachdan ann an trafaic lìonraidh) agus faodaidh iad eadhon ionnsaighean neo-aithnichte a lorg. Bidh siostaman mar seo a 'toirt seachad mòran de rudan ceàrr agus, ma thèid an cleachdadh gu ceàrr, cuiridh iad pairilis air gnìomhachd an lìonra ionadail;
- Bidh IDS stèidhichte air riaghailt ag obair air a’ phrionnsapal: ma tha FACT an uairsin ACTION. Gu dearbh, is e siostaman eòlach a tha seo le bunaitean eòlais - seata de fhìrinnean agus riaghailtean co-dhùnadh loidsigeach. Tha fuasglaidhean mar seo dian-saothair airson an stèidheachadh agus feumaidh iad tuigse mhionaideach a bhith aig an rianaire air an lìonra.
Eachdraidh leasachadh IDS
Thòisich àm leasachadh luath air an eadar-lìn agus lìonraidhean corporra anns na 90n den linn mu dheireadh, ach bha eòlaichean air an cuir an sàs le teicneòlasan tèarainteachd lìonra adhartach beagan na bu thràithe. Ann an 1986, dh’fhoillsich Dorothy Denning agus Peter Neumann am modal IDES (siostam eòlaiche lorg sàrachaidh), a thàinig gu bhith na bhunait airson a’ mhòr-chuid de shiostaman lorg sàrachaidh an latha an-diugh. Chleachd e siostam eòlach gus seòrsachan ionnsaigh aithnichte a chomharrachadh, a bharrachd air dòighean staitistigeil agus pròifilean cleachdaiche / siostam. Ruith IDES air ionadan-obrach Sun, a’ sgrùdadh trafaic lìonraidh agus dàta tagraidh. Ann an 1993, chaidh NIDES (Siostam Lorgaidh Sàr-ghinealach an ath ghinealach) a leigeil ma sgaoil - siostam eòlaiche lorg sàrachadh ginealach ùr.
Stèidhichte air obair Denning agus Neumann, nochd siostam eòlaiche MIDAS (siostam lorg agus rabhaidh ioma-sgaradh) a’ cleachdadh P-BEST agus LISP ann an 1988. Aig an aon àm, chaidh siostam Haystack stèidhichte air dòighean staitistigeil a chruthachadh. Chaidh lorgaire neo-riaghailteachd staitistigeil eile, W&S (Wisdom & Sense), a leasachadh bliadhna às deidh sin aig Saotharlann Nàiseanta Los Alamos. Bha an gnìomhachas a’ leasachadh aig astar luath. Mar eisimpleir, ann an 1990, chuir an siostam TIM (Inneal-inntrigidh stèidhichte air ùine) an gnìomh lorg neo-riaghailteachd mar-thà a’ cleachdadh ionnsachadh inductive air pàtrain luchd-cleachdaidh sreath (Cànan cumanta LISP). Rinn NSM (Network Security Monitor) coimeas eadar matrics ruigsinneachd gus neo-riaghailteachdan a lorg, agus thug ISOA (Neach-taic Oifigear Tèarainteachd Fiosrachaidh) taic do ghrunn ro-innleachdan lorgaidh: dòighean staitistigeil, sgrùdadh ìomhaigh agus siostam eòlaichean. Chleachd an siostam ComputerWatch a chaidh a chruthachadh aig AT&T Bell Labs dòighean staitistigeil agus riaghailtean airson dearbhadh, agus fhuair luchd-leasachaidh Oilthigh California a’ chiad prototype de IDS sgaoilte air ais ann an 1991 - bha DIDS (Siostam Lorgaidh Sàr-fhuaimneach) cuideachd na shiostam eòlach.
An toiseach, bha seilbh aig IDS, ach mar-thà ann an 1998, an obair-lann nàiseanta. Leig Lawrence Berkeley a-mach Bro (air ath-ainmeachadh Zeek ann an 2018), siostam stòr fosgailte a bhios a’ cleachdadh cànan riaghailtean seilbhe airson mion-sgrùdadh dàta libpcap. San t-Samhain an aon bhliadhna, nochd sniffer pacaid APE a’ cleachdadh libpcap, a chaidh ath-ainmeachadh mìos às deidh sin Snort, agus an dèidh sin thàinig e gu bhith na IDS / IPS làn-chuimseach. Aig an aon àm, thòisich grunn fhuasglaidhean seilbh a 'nochdadh.
Snort agus Suricata
Is fheàrr le mòran chompanaidhean IDS / IPS stòr fosgailte an-asgaidh. Airson ùine mhòr, bhathas den bheachd gur e an Snort a chaidh ainmeachadh mar-thà am fuasgladh àbhaisteach, ach a-nis tha e air a chuir na àite le siostam Suricata. Bheir sinn sùil nas mionaidiche air na buannachdan agus na h-eas-bhuannachdan aca. Bidh Snort a’ cothlamadh buannachdan modh stèidhichte air ainm-sgrìobhte leis a’ chomas air neo-riaghailteachdan a lorg ann an àm fìor. Leigidh Suricata leat dòighean eile a chleachdadh a bharrachd air a bhith ag aithneachadh ionnsaighean le ainmean-sgrìobhte. Chaidh an siostam a chruthachadh le buidheann de luchd-leasachaidh air an sgaradh bho phròiseact Snort agus a’ toirt taic do ghnìomhan IPS a’ tòiseachadh bho dhreach 1.4, agus thug Snort a-steach comas casg a chuir air sàrachadh nas fhaide air adhart.
Is e am prìomh eadar-dhealachadh eadar an dà thoraidhean mòr-chòrdte comas Suricata air coimpiutaireachd GPU a chleachdadh ann am modh IDS, a bharrachd air an IPS nas adhartaiche. Tha an siostam air a dhealbhadh an toiseach airson ioma-snàithlean, agus is e toradh aon-snàthainn a th’ ann an Snort. Mar thoradh air an eachdraidh fhada agus an còd dìleab aige, chan eil e a’ dèanamh feum as fheàrr de àrd-ùrlaran bathar-cruaidh ioma-phròiseasar / ioma-cridhe, ach faodaidh Suricata trafaic suas gu 10 Gbps a làimhseachadh air coimpiutairean àbhaisteach coitcheann. Faodaidh sinn bruidhinn airson ùine mhòr mu na rudan a tha coltach agus eadar-dhealaichte eadar an dà shiostam, ach ged a tha an einnsean Suricata ag obair nas luaithe, airson seanalan nach eil ro fharsaing chan eil seo gu math cudromach.
Roghainnean cur-an-gnìomh
Feumar an IPS a chuir ann an dòigh gus an urrainn don t-siostam sùil a chumail air na roinnean lìonra a tha fo a smachd. Mar as trice, is e coimpiutair sònraichte a tha seo, le aon eadar-aghaidh air a cheangal às deidh na h-innealan iomaill agus “a’ coimhead ”troimhe gu lìonraidhean poblach gun dìon (an eadar-lìn). Tha eadar-aghaidh IPS eile ceangailte ri cuir a-steach an roinn dìon gus am bi a h-uile trafaic a’ dol tron t-siostam agus air a sgrùdadh. Ann an cùisean nas iom-fhillte, faodaidh grunn earrannan dìon a bhith ann: mar eisimpleir, ann an lìonraidhean corporra, bidh sòn demilitarized (DMZ) gu tric air a riarachadh le seirbheisean ruigsinneach bhon eadar-lìn.
Faodaidh an leithid de IPS casg a chuir air sganadh puirt no ionnsaighean feachd brùideil facal-faire, brath a ghabhail air so-leòntachd anns an t-seirbheisiche puist, frithealaiche lìn no sgriobtaichean, a bharrachd air seòrsachan eile de dh’ ionnsaighean bhon taobh a-muigh. Ma tha coimpiutairean air an lìonra ionadail air an galar le malware, cha leig IDS leotha fios a chur gu na frithealaichean botnet a tha taobh a-muigh. Airson dìon nas miosa air an lìonra a-staigh, tha e coltach gum bi feum air rèiteachadh iom-fhillte le siostam sgaoilte agus suidsichean air an riaghladh le daor a tha comasach air trafaic a nochdadh airson an eadar-aghaidh IDS ceangailte ri aon de na puirt.
Bidh lìonraidhean corporra gu tric fo ùmhlachd ionnsaighean diùltadh seirbheis sgaoilte (DDoS). Ged as urrainn do IDS an latha an-diugh dèiligeadh riutha, chan eil coltas ann gun cuidich an roghainn cleachdadh gu h-àrd an seo. Aithnichidh an siostam gnìomhachd droch-rùnach agus cuiridh e casg air trafaic spùtach, ach airson seo a dhèanamh, feumaidh na pacaidean a dhol tro cheangal eadar-lìn taobh a-muigh agus an eadar-aghaidh lìonra aca a ruighinn. A rèir dè cho dian sa tha an ionnsaigh, is dòcha nach bi an sianal tar-chuir dàta comasach air dèiligeadh ris an luchd agus thèid amas an luchd-ionnsaigh a choileanadh. Airson leithid de chùisean, tha sinn a’ moladh IDS a chuir a-steach air frithealaiche brìgheil le ceangal eadar-lìn a tha follaiseach nas cumhachdaiche. Faodaidh tu an VPS a cheangal ris an lìonra ionadail tro VPN, agus an uairsin feumaidh tu rèiteachadh a dhèanamh air a h-uile trafaic bhon taobh a-muigh troimhe. An uairsin, ma thachras ionnsaigh DDoS, cha bhith agad ri pacaidean a chuir tron cheangal ris an t-solaraiche; bidh iad air am bacadh air an nód a-muigh.
Cùis roghainn
Tha e gu math duilich stiùiriche a chomharrachadh am measg siostaman an-asgaidh. Tha an roghainn IDS / IPS air a dhearbhadh le topology an lìonraidh, na gnìomhan tèarainteachd a tha a dhìth, a bharrachd air roghainnean pearsanta an rianadair agus a mhiann a bhith ag atharrachadh leis na roghainnean. Tha eachdraidh nas fhaide aig Snort agus tha e air a chlàradh nas fheàrr, ged a tha fiosrachadh mu Suricata cuideachd furasta a lorg air-loidhne. Co-dhiù, gus an siostam a mhaighstireachd feumaidh tu beagan oidhirpean a dhèanamh, a phàigheas aig a’ cheann thall - tha bathar-cruaidh malairteach agus bathar-bog bathar-cruaidh IDS/IPS gu math daor agus chan eil iad an-còmhnaidh a’ freagairt air a’ bhuidseit. Chan eil feum air aithreachas a bhith air a chaitheamh air ùine, oir bidh deagh rianadair an-còmhnaidh a’ leasachadh a sgilean aig cosgais an fhastaiche. Anns an t-suidheachadh seo, bidh a h-uile duine a 'buannachadh. Anns an ath artaigil bheir sinn sùil air cuid de roghainnean cleachdadh Suricata agus dèan coimeas eadar siostam nas ùire leis an IDS / IPS Snort clasaigeach ann an cleachdadh.
Source: www.habr.com