A wani lokaci, tsarin wuta na yau da kullun da shirye-shiryen anti-virus sun isa don kare cibiyar sadarwar gida, amma irin wannan saitin ba ya da tasiri sosai a kan hare-haren hackers na zamani da malware da suka yaɗu kwanan nan. Kyakkyawan tsohuwar bangon wuta yana nazarin fakitin kanun labarai, kyale ko toshe su bisa ga saitin ƙa'idodi. Ba ta san komai game da abubuwan da ke cikin fakitin ba, saboda haka ba za ta iya gane halalcin ayyukan maharan ba. Shirye-shiryen riga-kafi ba koyaushe suke kama malware ba, don haka mai gudanarwa yana fuskantar aikin sa ido kan ayyukan da ba na al'ada ba da kuma ware masu kamuwa da cuta akan lokaci.
Akwai kayan aikin ci gaba da yawa da ake akwai don kare ababen more rayuwa na IT na kamfani. A yau za mu yi magana game da tsarin gano kutse mai buɗe ido da tsarin rigakafi, waɗanda za a iya aiwatar da su ba tare da siyan kayan aiki masu tsada da lasisin software ba.
Rarraba IDS/IPS
IDS (Tsarin Gano Kutse) wani tsari ne da aka ƙera don yin rajistar ayyukan da ake tuhuma akan hanyar sadarwa ko akan kwamfuta ɗaya. Yana adana rajistan ayyukan taron kuma yana sanar da ma'aikaci da ke da alhakin tsaron bayanan game da su. Ana iya bambanta abubuwa masu zuwa azaman ɓangare na IDS:
- na'urori masu auna firikwensin don duba zirga-zirgar hanyar sadarwa, rajistan ayyukan daban-daban, da sauransu.
- wani tsarin bincike wanda ke gano alamun tasirin mummunan tasiri a cikin bayanan da aka karɓa;
- ajiya don tara abubuwan farko da sakamakon bincike;
- sarrafa na'ura wasan bidiyo.
Da farko, an rarraba IDS ta wurin wuri: ana iya mayar da hankali kan kare nodes na kowane mutum (tsarin ganowa mai masaukin baki ko Tsarin Ganowa Mai watsa shiri - HIDS) ko kare duk hanyar sadarwar kamfani (tushen hanyar sadarwa ko Tsarin Gano Kutse na hanyar sadarwa - NIDS). Yana da daraja ambaton abin da ake kira APIDS (IDS na tushen ƙa'idar aiki): Suna sa ido kan ƙayyadaddun ƙayyadaddun ƙa'idodin matakin aikace-aikacen don gano takamaiman hare-hare kuma ba sa yin zurfin bincike na fakitin cibiyar sadarwa. Irin waɗannan samfuran yawanci suna kama da proxies kuma ana amfani da su don kare takamaiman ayyuka: sabar gidan yanar gizo da aikace-aikacen gidan yanar gizo (misali, an rubuta cikin PHP), sabar bayanai, da sauransu. Misali na yau da kullun na wannan ajin shine mod_security don sabar gidan yanar gizon Apache.
Mun fi sha'awar NIDS na duniya waɗanda ke goyan bayan ka'idojin sadarwa da yawa da fasahar DPI (Deep Packet Inspection). Suna sa ido kan duk zirga-zirgar ababen hawa, suna farawa daga layin haɗin yanar gizo, kuma suna gano nau'ikan hare-haren hanyar sadarwa, da kuma ƙoƙarin samun damar samun bayanai mara izini. Sau da yawa irin waɗannan tsarin suna da tsarin gine-gine da aka rarraba kuma suna iya hulɗa tare da kayan aikin cibiyar sadarwa daban-daban. Lura cewa yawancin NIDS na zamani sun haɗu kuma suna haɗa hanyoyi da yawa. Dangane da tsari da saituna, za su iya magance matsaloli daban-daban - alal misali, kare kumburi ɗaya ko duk hanyar sadarwa. Bugu da kari, ayyukan IDS na wuraren aiki sun mamaye fakitin anti-virus, wanda, saboda yaduwar Trojans da nufin satar bayanai, ya juya zuwa multifunctional Firewalls wanda kuma ke magance matsalolin ganowa da toshe hanyoyin da ake tuhuma.
Da farko, IDS zai iya gano ayyukan malware kawai, na'urorin sikanin tashar jiragen ruwa, ko, a ce, keta manufofin tsaro na mai amfani. Lokacin da wani abu ya faru, sun sanar da mai gudanarwa, amma da sauri ya bayyana a fili cewa kawai gane harin bai isa ba - yana buƙatar katange. Don haka IDS ya zama IPS (Tsarin Rigakafin Kutse) - tsarin rigakafin kutse da ke da ikon yin mu'amala da tawul.
Hanyoyin ganowa
Gano kutsawa na zamani da hanyoyin rigakafin suna amfani da hanyoyi daban-daban don gano ayyukan mugunta, waɗanda za a iya raba su zuwa rukuni uku. Wannan yana ba mu wani zaɓi don rarraba tsarin:
- IDS/IPS na tushen sa hannu yana gano alamu a cikin zirga-zirga ko saka idanu canje-canje a yanayin tsarin don tantance harin hanyar sadarwa ko yunƙurin kamuwa da cuta. A zahiri ba sa ba da ɓarna da tabbataccen ƙarya, amma ba sa iya gano barazanar da ba a sani ba;
- Anomaly-gane IDS ba sa amfani da sa hannun hari. Suna gane mummunan halayen tsarin bayanai (gami da rashin daidaituwa a cikin zirga-zirgar hanyar sadarwa) kuma suna iya gano hare-haren da ba a san su ba. Irin waɗannan tsarin suna ba da ƙima mai yawa na ƙarya kuma, idan aka yi amfani da su ba daidai ba, suna gurgunta aikin cibiyar sadarwar gida;
- IDS na tushen doka yana aiki akan ka'ida: idan GASKIYA to ACTION. A haƙiƙa, waɗannan ƙwararrun tsarin ƙwararru ne tare da tushen ilimi - saiti na gaskiya da ƙa'idodi na fahimtar ma'ana. Irin waɗannan mafita suna da ƙwazo don saitawa kuma suna buƙatar mai gudanarwa don samun cikakken fahimtar hanyar sadarwa.
Tarihin ci gaban IDS
Zamanin saurin bunƙasa Intanet da hanyoyin sadarwa na kamfanoni ya fara ne a cikin 90s na ƙarnin da ya gabata, amma ƙwararrun masana fasahar tsaro na ci gaba sun daɗe da ruɗewa. A cikin 1986, Dorothy Denning da Peter Neumann sun buga samfurin IDES (tsarin ƙwararrun ƙwararrun kutse), wanda ya zama tushen mafi yawan tsarin gano kutse na zamani. Ya yi amfani da tsarin ƙwararru don gano sanannun nau'ikan harin, da kuma hanyoyin ƙididdiga da bayanan bayanan mai amfani/tsari. IDES ya gudana akan wuraren aiki na Sun, yana duba zirga-zirgar hanyar sadarwa da bayanan aikace-aikace. A cikin 1993, nayes (tsarin kwararren tsarin gini na gaba) an sake shi - wani sabon tsarin kwararren tsarin ganowa.
Dangane da aikin Denning da Neumann, MIDAS (tsarin gano kutse da tsarin faɗakarwa) ƙwararrun tsarin ƙwararrun masu amfani da P-BEST da LISP sun bayyana a cikin 1988. A lokaci guda, an ƙirƙiri tsarin Haystack bisa hanyoyin ƙididdiga. Wani mai gano rashin lafiyar kididdiga, W&S (Hikima & Sense), an haɓaka shekara guda bayan haka a dakin gwaje-gwaje na ƙasa na Los Alamos. Masana'antar tana haɓaka cikin sauri. Misali, a cikin 1990, tsarin TIM (Inductive na'ura mai dogaro da lokaci) ya riga ya aiwatar da gano abubuwan da ba su da kyau ta amfani da koyo na ilimantarwa akan tsarin mai amfani (Common LISP Language). NSM (Mai Kula da Tsaro na Yanar Gizo) idan aka kwatanta matrix samun damar gano abubuwan da ba su da kyau, kuma ISOA (Mataimakin Jami'in Tsaro na Bayani) yana goyan bayan dabarun ganowa daban-daban: hanyoyin ƙididdiga, duba bayanan martaba da tsarin ƙwararru. Tsarin ComputerWatch da aka ƙirƙira a AT&T Bell Labs ya yi amfani da hanyoyin ƙididdiga da ƙa'idodi don tabbatarwa, kuma masu haɓaka Jami'ar California sun karɓi samfurin farko na IDS da aka rarraba baya a cikin 1991 - DIDS (Tsarin Gano Intrusion Distributed) kuma tsarin ƙwararru ne.
Da farko, IDS sun kasance masu mallakar mallaka, amma riga a cikin 1998, Laboratory National. Lawrence Berkeley ya saki Bro (wanda aka sake masa suna Zeek a cikin 2018), tsarin tushen buɗe ido wanda ke amfani da yaren ƙa'idodin mallakar mallaka don nazarin bayanan libpcap. A watan Nuwamba na wannan shekarar, fakitin fakitin APE ya bayyana ta hanyar amfani da libpcap, wanda bayan wata daya aka sake masa suna Snort, kuma daga baya ya zama cikakken IDS/IPS. A lokaci guda, mafita na mallaka da yawa sun fara bayyana.
Snort da Suricata
Kamfanoni da yawa sun fi son IDS/IPS kyauta kuma buɗe tushen. Na dogon lokaci, an riga an ambata Snort a matsayin daidaitaccen bayani, amma yanzu an maye gurbin shi ta tsarin Suricata. Bari mu kalli fa'idarsu da rashin amfaninsu dalla-dalla. Snort yana haɗa fa'idodin hanyar tushen sa hannu tare da ikon gano abubuwan da ba su da kyau a cikin ainihin lokaci. Suricata kuma yana ba ku damar amfani da wasu hanyoyin ban da sanin harin ta hanyar sa hannu. An ƙirƙiri tsarin ta ƙungiyar masu haɓakawa waɗanda aka raba daga aikin Snort kuma suna tallafawa ayyukan IPS waɗanda suka fara daga sigar 1.4, kuma Snort ya gabatar da ikon hana kutse daga baya.
Babban bambanci tsakanin shahararrun samfuran biyu shine ikon Suricata don amfani da lissafin GPU a yanayin IDS, da kuma ƙarin ci gaba IPS. An tsara tsarin da farko don zaren da yawa, yayin da Snort samfuri ne mai zaren guda ɗaya. Saboda dogon tarihinta da lambar gado, baya yin amfani da dandamali na kayan masarufi da yawa/multicore, yayin da Suricata na iya sarrafa zirga-zirga har zuwa 10 Gbps akan kwamfutoci na yau da kullun. Za mu iya magana na dogon lokaci game da kamance da bambance-bambance tsakanin tsarin biyu, amma ko da yake Suricata engine aiki da sauri, domin ba ma fadi da tashoshi, wannan ba shi da muhimmanci.
Zaɓuɓɓukan turawa
Dole ne a sanya IPS ta hanyar da tsarin zai iya saka idanu akan sassan cibiyar sadarwa a ƙarƙashin ikonsa. Mafi sau da yawa, wannan kwamfyuta ce mai sadaukarwa, ɗayan haɗin keɓaɓɓiyar abin da ke haɗawa bayan na'urorin gefen kuma "kalli" ta hanyar su cikin hanyoyin sadarwar jama'a marasa tsaro (Internet). An haɗa wani haɗin IPS zuwa shigar da sashin kariya don duk zirga-zirgar zirga-zirga ta wuce ta tsarin kuma ana bincikar su. A cikin mawuyacin yanayi, ƙila a sami ɓangarori masu kariya da yawa: alal misali, a cikin cibiyoyin sadarwar kamfanoni ana keɓance yankin da ba a taɓa yin soja ba (DMZ) tare da ayyukan da ake samu daga Intanet.
Irin wannan IPS na iya hana bincikar tashar jiragen ruwa ko hare-hare na kalmar sirri, yin amfani da lahani a cikin sabar saƙo, sabar yanar gizo ko rubutun, da sauran nau'ikan hare-hare na waje. Idan kwamfutoci a kan hanyar sadarwar gida sun kamu da malware, IDS ba zai ba su damar tuntuɓar sabar botnet da ke waje ba. Don ƙarin kariya mai mahimmanci na hanyar sadarwa na ciki, ƙila za a buƙaci ƙaƙƙarfan tsari tare da tsarin rarrabawa da masu sauyawa masu tsada masu tsada waɗanda ke iya kwatanta zirga-zirga don ƙirar IDS da aka haɗa zuwa ɗayan tashoshin jiragen ruwa.
Cibiyoyin sadarwar kamfanoni galibi suna fuskantar hare-haren kin sabis (DDoS). Kodayake IDS na zamani na iya magance su, zaɓin turawa na sama ba zai iya taimakawa a nan ba. Tsarin zai gane munanan ayyuka kuma ya toshe hanyoyin zirga-zirga, amma don yin wannan, fakitin dole ne su wuce ta hanyar haɗin Intanet na waje kuma su isa cibiyar sadarwar sa. Dangane da girman harin, tashar watsa bayanai ba za ta iya jurewa da nauyi ba kuma za a cimma burin maharan. Don irin waɗannan lokuta, muna ba da shawarar tura IDS akan uwar garken kama-da-wane tare da haɗin Intanet mafi ƙarfi a fili. Kuna iya haɗa VPS zuwa cibiyar sadarwar gida ta hanyar VPN, sannan kuna buƙatar saita tsarin zirga-zirgar zirga-zirgar waje ta hanyarsa. Sannan, a yayin harin DDoS, ba za ku aika fakiti ta hanyar haɗin kai zuwa mai bayarwa ba; za a toshe su a kumburin waje.
Matsalar zabi
Yana da matukar wahala a gano jagora tsakanin tsarin kyauta. Zaɓin IDS / IPS an ƙaddara ta hanyar cibiyar sadarwa topology, ayyukan tsaro da ake buƙata, da kuma abubuwan da ake so na mai gudanarwa da kuma sha'awar yin tinker tare da saitunan. Snort yana da dogon tarihi kuma yana da mafi kyawun rubuce-rubuce, kodayake bayani akan Suricata shima yana da sauƙin samun akan layi. A kowane hali, don ƙware tsarin dole ne ku yi ƙoƙari, wanda a ƙarshe zai biya - kayan aikin kasuwanci da IDS/IPS-software suna da tsada sosai kuma ba koyaushe suke dacewa da kasafin kuɗi ba. Babu wata fa'ida a cikin nadamar bata lokaci, domin admin nagari yakan inganta kwarewarsa ta hanyar kashe ma'aikaci. A wannan yanayin, kowa yana cin nasara. A cikin labarin na gaba za mu dubi wasu zaɓuɓɓukan turawa na Suricata kuma za mu kwatanta tsarin zamani tare da IDS/IPS Snort na al'ada a aikace.
source: www.habr.com