Érase unha vez, un cortalumes común e programas antivirus eran suficientes para protexer a rede local, pero tal conxunto xa non é o suficientemente efectivo contra os ataques dos hackers modernos e o malware que proliferaron recentemente. Un bo firewall antigo só analiza as cabeceiras dos paquetes, permitíndoas ou bloqueándoas segundo un conxunto de regras formais. Non sabe nada sobre o contido dos paquetes e, polo tanto, non pode recoñecer as accións aparentemente lexítimas dos atacantes. Os programas antivirus non sempre captan malware, polo que o administrador enfróntase á tarefa de supervisar a actividade anormal e illar oportunamente os hosts infectados.
Existen moitas ferramentas avanzadas que che permiten protexer a infraestrutura informática da empresa. Hoxe falaremos de sistemas de detección e prevención de intrusos de código aberto que se poden implementar sen mercar custosas licenzas de hardware e software.
Clasificación IDS/IPS
IDS (Intrusion Detection System) é un sistema deseñado para rexistrar actividades sospeitosas nunha rede ou nun ordenador separado. Mantén rexistros de eventos e notifica sobre eles á persoa responsable da seguridade da información. O IDS inclúe os seguintes elementos:
- sensores para ver tráfico de rede, rexistros diversos, etc.
- un subsistema de análise que detecta sinais de efectos nocivos nos datos recibidos;
- almacenamento para a acumulación de eventos primarios e resultados da análise;
- consola de xestión.
Inicialmente, os IDS clasificáronse por localización: podían enfocarse a protexer nodos individuais (baseado en host ou Sistema de detección de intrusos en host - HIDS) ou protexer toda a rede corporativa (baseado en rede ou Sistema de detección de intrusos en rede - NIDS). Cabe mencionar o chamado APIDS (Application protocol-based IDS): supervisan un conxunto limitado de protocolos de capa de aplicación para detectar ataques específicos e non analizan en profundidade os paquetes de rede. Estes produtos adoitan parecerse aos proxies e úsanse para protexer servizos específicos: servidor web e aplicacións web (por exemplo, escritas en PHP), servidores de bases de datos, etc. Un representante típico desta clase é mod_security para o servidor web Apache.
Estamos máis interesados nos NIDS universais que admiten unha ampla gama de protocolos de comunicación e tecnoloxías de análise de paquetes DPI (Deep Packet Inspection). Supervisan todo o tráfico que pasa, comezando desde a capa de enlace de datos, e detectan unha ampla gama de ataques á rede, así como o acceso non autorizado á información. Moitas veces, estes sistemas teñen unha arquitectura distribuída e poden interactuar con varios equipos de rede activos. Teña en conta que moitos NIDS modernos son híbridos e combinan varios enfoques. Dependendo da configuración e da configuración, poden resolver varios problemas, por exemplo, protexer un nodo ou toda a rede. Ademais, as funcións IDS para estacións de traballo foron asumidas por paquetes antivirus que, debido á propagación de troianos destinados a roubar información, convertéronse en firewalls multifuncionais que tamén resolven as tarefas de recoñecemento e bloqueo de tráfico sospeitoso.
Inicialmente, IDS só podía detectar actividade de malware, escáneres de portos ou, por exemplo, violacións dos usuarios das políticas de seguridade corporativas. Cando ocorreu un determinado evento, notificáronlle ao administrador, pero axiña quedou claro que simplemente recoñecer o ataque non era suficiente: había que bloquealo. Así, IDS transformouse en IPS (Intrusion Prevention Systems): sistemas de prevención de intrusións que poden interactuar con cortalumes.
Métodos de detección
As solucións modernas de detección e prevención de intrusos utilizan varios métodos para detectar actividade maliciosa, que se poden dividir en tres categorías. Isto ofrécenos outra opción para clasificar sistemas:
- Os IDS/IPS baseados en sinaturas buscan patróns no tráfico ou supervisan os cambios de estado do sistema para detectar un ataque á rede ou un intento de infección. Practicamente non dan fallos e falsos positivos, pero non son capaces de detectar ameazas descoñecidas;
- Os IDS que detectan anomalías non usan sinaturas de ataque. Recoñecen o comportamento anormal dos sistemas de información (incluíndo anomalías no tráfico da rede) e poden detectar ata ataques descoñecidos. Estes sistemas dan bastantes falsos positivos e, se se usan incorrectamente, paralizan o funcionamento da rede local;
- O IDS baseado en regras traballa no principio: se FACTO, entón ACCIÓN. En esencia, estes son sistemas expertos con bases de coñecemento: un conxunto de feitos e regras de inferencia lóxica. Este tipo de solucións requiren un traballo intensivo de configuración e requiren que o administrador teña unha comprensión detallada da rede.
Historia do desenvolvemento de IDS
A era do rápido desenvolvemento de Internet e das redes corporativas comezou nos anos 90 do século pasado, con todo, os expertos estaban desconcertados polas tecnoloxías avanzadas de seguridade de redes un pouco antes. En 1986, Dorothy Denning e Peter Neumann publicaron o modelo IDES (Intrusion detection expert system), que se converteu na base da maioría dos sistemas modernos de detección de intrusos. Utilizou un sistema experto para identificar ataques coñecidos, así como métodos estatísticos e perfís de usuario/sistema. IDES funcionou en estacións de traballo Sun, comprobando o tráfico da rede e os datos das aplicacións. En 1993, lanzouse NIDES (Sistema experto en detección de intrusos de nova xeración), un sistema experto en detección de intrusos de nova xeración.
Baseado no traballo de Denning e Neumann, o sistema experto MIDAS (Multics intrusion detection and alerting system) apareceu en 1988, utilizando P-BEST e LISP. Ao mesmo tempo, creouse o sistema Haystack baseado en métodos estatísticos. Outro detector de anomalías estatísticas, W&S (Wisdom & Sense), desenvolveuse un ano despois no Laboratorio Nacional de Los Alamos. A industria desenvolvíase a un ritmo rápido. Por exemplo, en 1990, a detección de anomalías xa estaba implementada no sistema TIM (Time-based inductive machine) mediante a aprendizaxe indutiva en patróns secuenciais de usuario (Linguaxe LISP común). NSM (Network Security Monitor) comparou matrices de acceso para a detección de anomalías, e ISOA (Information Security Officer's Assistant) admitiu varias estratexias de detección: métodos estatísticos, comprobación de perfiles e sistema experto. O sistema ComputerWatch creado nos AT & T Bell Labs utilizou tanto métodos estatísticos como regras para a verificación, e os desenvolvedores da Universidade de California recibiron o primeiro prototipo dun IDS distribuído en 1991 - DIDS (Distributed Intrusion Detection System) tamén era un experto. sistema.
Nun principio, os IDS eran propietarios, pero xa en 1998, o National Laboratory. Lawrence en Berkeley lanzou Bro (rebautizado como Zeek en 2018), un sistema de código aberto que usa a súa propia linguaxe de regras para analizar datos de libpcap. En novembro do mesmo ano apareceu o sniffer de paquetes APE que usaba libpcap, que un mes despois pasou a chamarse Snort, e máis tarde converteuse nun IDS/IPS completo. Ao mesmo tempo, comezaron a aparecer numerosas solucións propietarias.
Snort e Suricata
Moitas empresas prefiren IDS/IPS gratuítos e de código aberto. Durante moito tempo, o xa mencionado Snort considerouse a solución estándar, pero agora foi suplantado polo sistema Suricata. Vexamos un pouco máis en detalle as súas vantaxes e inconvenientes. Snort combina os beneficios dun método baseado na sinatura coa capacidade de detectar anomalías en tempo real. Suricata tamén permite utilizar outros métodos ademais de recoñecer ataques por sinaturas. O sistema foi creado por un grupo de desenvolvedores separados do proxecto Snort e admite funcións IPS a partir da versión 1.4, e Snort introduciu a capacidade de evitar intrusións máis tarde.
A principal diferenza entre os dous produtos populares é a capacidade de Suricata para usar a GPU para a computación IDS, así como o IPS máis avanzado. O sistema foi orixinalmente deseñado para multi-fíos, mentres que Snort é un produto de fíos únicos. Debido á súa longa historia e código heredado, non fai un uso óptimo das plataformas de hardware multiprocesador/multi-núcleo, mentres que Suricata pode xestionar tráfico de ata 10 Gbps en ordenadores normais de propósito xeral. Podes falar das semellanzas e diferenzas entre os dous sistemas durante moito tempo, pero aínda que o motor Suricata funciona máis rápido, para as canles non demasiado amplas non importa.
Opcións de implantación
O IPS debe colocarse de forma que o sistema poida supervisar os segmentos de rede baixo o seu control. Na maioría das veces, esta é unha computadora dedicada, unha das cales se conecta despois dos dispositivos de borde e "busca" a través deles a redes públicas non seguras (Internet). Outra interface IPS está conectada á entrada do segmento protexido para que todo o tráfico pase polo sistema e sexa analizado. En casos máis complexos, pode haber varios segmentos protexidos: por exemplo, nas redes corporativas, unha zona desmilitarizada (DMZ) adoita asignarse con servizos accesibles desde Internet.
Tal IPS pode evitar ataques de escaneo de portos ou contrasinais de forza bruta, explotación de vulnerabilidades no servidor de correo, servidor web ou scripts, así como outros tipos de ataques externos. Se os ordenadores da rede local están infectados con malware, IDS non lles permitirá contactar cos servidores de botnet situados fóra. Para unha protección máis seria da rede interna, probablemente será necesaria unha configuración complexa cun sistema distribuído e conmutadores xestionados caros capaces de reflectir o tráfico para a interface IDS conectada a un dos portos.
As redes corporativas adoitan estar suxeitas a ataques de denegación de servizo distribuído (DDoS). Aínda que os IDS modernos poden tratar con eles, é pouco probable que a opción de implantación anterior axude aquí. O sistema recoñecerá a actividade maliciosa e bloqueará o tráfico espurio, pero para iso, os paquetes deben pasar por unha conexión externa a Internet e chegar á súa interface de rede. Dependendo da intensidade do ataque, é posible que a canle de transmisión de datos non poida facer fronte á carga e lograrase o obxectivo dos atacantes. Para tales casos, recomendamos implementar IDS nun servidor virtual cunha conexión a Internet mellor coñecida. Podes conectar o VPS á rede local a través dunha VPN e, a continuación, terás que configurar o enrutamento de todo o tráfico externo a través dela. Entón, en caso de ataque DDoS, non terás que conducir paquetes a través da conexión co provedor, bloquearanse no host externo.
Problema de elección
É moi difícil identificar un líder entre os sistemas libres. A elección de IDS / IPS está determinada pola topoloxía da rede, as funcións de protección necesarias, así como as preferencias persoais do administrador e o seu desexo de xogar coa configuración. Snort ten unha historia máis longa e está mellor documentado, aínda que a información sobre Suricata tamén é fácil de atopar en liña. En calquera caso, para dominar o sistema, terás que facer algúns esforzos, o que acabará pagando: o hardware comercial e o hardware-software IDS / IPS son bastante caros e non sempre encaixan no orzamento. Non debes arrepentirte do tempo dedicado, porque un bo administrador sempre mellora as súas cualificacións a costa do empresario. Nesta situación, todos gañan. No seguinte artigo, analizaremos algunhas opcións para implementar Suricata e compararemos o sistema máis moderno co clásico IDS/IPS Snort na práctica.
Fonte: www.habr.com