Nekada su za zaštitu lokalne mreže bili dovoljni obični vatrozid i antivirusni programi, ali takav skup više nije dovoljno učinkovit protiv napada modernih hakera i zlonamjernog softvera koji se u posljednje vrijeme raširio. Stari dobri vatrozid analizira samo zaglavlja paketa, prosljeđujući ih ili blokirajući u skladu sa skupom formalnih pravila. Ne zna ništa o sadržaju paketa i stoga ne može prepoznati izvana legitimne radnje uljeza. Antivirusni programi ne hvataju uvijek zlonamjerni softver, pa se administrator suočava sa zadatkom praćenja nenormalnih aktivnosti i pravodobnog izoliranja zaraženih računala.
Postoje mnogi napredni alati koji vam omogućuju zaštitu IT infrastrukture tvrtke. Danas ćemo govoriti o sustavima otvorenog koda za otkrivanje i sprječavanje upada koji se mogu implementirati bez kupnje skupih hardverskih i softverskih licenci.
IDS/IPS klasifikacija
IDS (Intrusion Detection System) je sustav dizajniran za registraciju sumnjivih aktivnosti na mreži ili na zasebnom računalu. Održava zapise događaja io njima obavještava osobu odgovornu za informacijsku sigurnost. IDS uključuje sljedeće elemente:
- senzori za pregled mrežnog prometa, raznih logova itd.
- podsustav za analizu koji otkriva znakove štetnih učinaka u primljenim podacima;
- pohrana za akumulaciju primarnih događaja i rezultata analize;
- upravljačka konzola.
U početku su IDS-ovi bili klasificirani prema lokaciji: mogli su biti usmjereni na zaštitu pojedinačnih čvorova (sustav za otkrivanje upada na glavnom računalu - HIDS) ili na zaštitu cijele korporativne mreže (sustav za otkrivanje upada na mreži ili na mreži - NIDS). Vrijedno je spomenuti i tzv. APIDS (IDS temeljen na aplikacijskom protokolu): nadziru ograničeni skup protokola aplikacijskog sloja kako bi otkrili specifične napade i ne analiziraju duboko mrežne pakete. Takvi proizvodi obično nalikuju proxyjima i koriste se za zaštitu određenih usluga: web poslužitelja i web aplikacija (na primjer, napisanih u PHP-u), poslužitelja baze podataka itd. Tipičan predstavnik ove klase je mod_security za Apache web poslužitelj.
Više smo zainteresirani za univerzalne NIDS-ove koji podržavaju širok raspon komunikacijskih protokola i DPI (Deep Packet Inspection) tehnologija analize paketa. Oni prate sav prolazni promet, počevši od sloja podatkovne veze, i detektiraju širok raspon mrežnih napada, kao i neovlašteni pristup informacijama. Često takvi sustavi imaju distribuiranu arhitekturu i mogu komunicirati s različitom aktivnom mrežnom opremom. Imajte na umu da su mnogi moderni NIDS-ovi hibridni i kombiniraju nekoliko pristupa. Ovisno o konfiguraciji i postavkama, mogu riješiti različite probleme - primjerice, zaštititi jedan čvor ili cijelu mrežu. Osim toga, funkcije IDS-a za radne stanice preuzeli su antivirusni paketi koji su se zbog širenja trojanaca namijenjenih krađi informacija pretvorili u multifunkcionalne vatrozide koji također rješavaju zadatke prepoznavanja i blokiranja sumnjivog prometa.
U početku je IDS mogao otkriti samo aktivnost zlonamjernog softvera, skenere portova ili, recimo, korisnička kršenja korporativnih sigurnosnih pravila. Kad bi se dogodio određeni događaj, obavijestili su administratora, no vrlo brzo je postalo jasno da samo prepoznavanje napada nije dovoljno – potrebno ga je blokirati. Tako se IDS transformirao u IPS (Intrusion Prevention Systems) - sustave za sprječavanje upada koji mogu komunicirati s vatrozidima.
Metode detekcije
Suvremena rješenja za otkrivanje i sprječavanje upada koriste različite metode za otkrivanje zlonamjernih aktivnosti, koje se mogu podijeliti u tri kategorije. Ovo nam daje drugu mogućnost za klasifikaciju sustava:
- IDS/IPS temeljen na potpisu traži uzorke u prometu ili prati promjene stanja sustava kako bi otkrio mrežni napad ili pokušaj infekcije. Oni praktički ne daju zatajenja paljenja i lažno pozitivne, ali nisu u stanju identificirati nepoznate prijetnje;
- IDS-ovi koji otkrivaju anomalije ne koriste potpise napada. Oni prepoznaju abnormalno ponašanje informacijskih sustava (uključujući anomalije u mrežnom prometu) i mogu otkriti čak i nepoznate napade. Takvi sustavi daju dosta lažno pozitivnih rezultata i, ako se koriste neispravno, paraliziraju rad lokalne mreže;
- IDS-ovi temeljeni na pravilima funkcioniraju na sljedeći način: ako je ČINJENICA onda RADNJA. Zapravo, radi se o ekspertnim sustavima s bazama znanja – skupom činjenica i pravila zaključivanja. Takva rješenja zahtijevaju puno vremena za postavljanje i od administratora zahtijevaju detaljno razumijevanje mreže.
Povijest razvoja IDS-a
Era brzog razvoja interneta i korporativnih mreža započela je 90-ih godina prošlog stoljeća, no stručnjaci su nešto ranije bili zbunjeni naprednim mrežnim sigurnosnim tehnologijama. Godine 1986. Dorothy Denning i Peter Neumann objavili su model IDES (Intrusion detection expert system) koji je postao osnova većine modernih sustava za detekciju upada. Koristila je ekspertni sustav za identifikaciju poznatih napada, kao i statističke metode i profile korisnika/sustava. IDES je radio na Sun radnim stanicama, provjeravajući mrežni promet i podatke aplikacija. Godine 1993. objavljen je NIDES (Next-generation Intrusion Detection Expert System) - ekspertni sustav nove generacije za otkrivanje upada.
Na temelju rada Denninga i Neumanna, MIDAS (Multics intrusion detection and alerting system) ekspertni sustav se pojavio 1988. godine, koristeći P-BEST i LISP. Istovremeno je nastao sustav Haystack koji se temelji na statističkim metodama. Drugi statistički detektor anomalija, W&S (Wisdom & Sense), razvijen je godinu dana kasnije u Nacionalnom laboratoriju u Los Alamosu. Razvoj industrije odvijao se velikom brzinom. Na primjer, 1990. detekcija anomalija već je bila implementirana u TIM (Time-based inductive machine) sustav koristeći induktivno učenje na sekvencijalnim korisničkim obrascima (Common LISP language). NSM (Network Security Monitor) uspoređivao je matrice pristupa za detekciju anomalija, a ISOA (Information Security Officer's Assistant) podržavao je različite strategije detekcije: statističke metode, provjeru profila i ekspertni sustav. Sustav ComputerWatch kreiran u AT & T Bell Labs koristio je i statističke metode i pravila za verifikaciju, a programeri sa Sveučilišta u Kaliforniji dobili su prvi prototip distribuiranog IDS-a još 1991. - DIDS (Distributed intrusion detection system) također je bio stručnjak sustav.
Isprva su IDS bili vlasnički, a već 1998. Nacionalni laboratorij. Lawrence na Berkeleyu izdao je Bro (preimenovan u Zeek 2018.), sustav otvorenog koda koji koristi vlastiti jezik pravila za analizu libpcap podataka. U studenom iste godine pojavio se APE sniffer paketa koji koristi libpcap, koji je mjesec dana kasnije preimenovan u Snort, a kasnije je postao punopravni IDS / IPS. Istodobno su se počela pojavljivati brojna vlasnička rješenja.
Snort i Suricata
Mnoge tvrtke preferiraju besplatni IDS/IPS otvorenog koda. Dugo se već spomenuti Snort smatrao standardnim rješenjem, no sada ga je zamijenio sustav Suricata. Razmotrite njihove prednosti i nedostatke malo detaljnije. Snort kombinira prednosti metode potpisa sa sposobnošću otkrivanja anomalija u stvarnom vremenu. Suricata također dopušta druge metode osim otkrivanja potpisa napada. Sustav je kreirala grupa programera koji su se odvojili od projekta Snort i podržava IPS značajke od verzije 1.4, dok se zaštita od upada pojavila u Snortu kasnije.
Glavna razlika između dva popularna proizvoda je Suricatina mogućnost korištenja GPU-a za IDS računalstvo, kao i napredniji IPS. Sustav je izvorno dizajniran za multi-threading, dok je Snort jednonitni proizvod. Zbog svoje duge povijesti i naslijeđenog koda, ne koristi optimalno višeprocesorske/višejezgrene hardverske platforme, dok Suricata može upravljati prometom do 10 Gbps na uobičajenim računalima opće namjene. Možete dugo pričati o sličnostima i razlikama između dva sustava, ali iako Suricata motor radi brže, za ne preširoke kanale to nije važno.
Mogućnosti implementacije
IPS mora biti postavljen na način da sustav može nadzirati segmente mreže pod svojom kontrolom. Najčešće je riječ o namjenskom računalu čije se jedno sučelje povezuje nakon rubnih uređaja i kroz njih “gleda” prema nezaštićenim javnim mrežama (Internetu). Još jedno IPS sučelje spojeno je na ulaz zaštićenog segmenta tako da sav promet prolazi kroz sustav i analizira se. U složenijim slučajevima može postojati nekoliko zaštićenih segmenata: na primjer, u korporativnim mrežama često se dodjeljuje demilitarizirana zona (DMZ) s uslugama dostupnima s Interneta.
Takav IPS može spriječiti skeniranje porta ili brute-force napade, iskorištavanje ranjivosti u poslužitelju pošte, web poslužitelju ili skriptama, kao i druge vrste vanjskih napada. Ako su računala na lokalnoj mreži zaražena zlonamjernim softverom, IDS im neće dopustiti da kontaktiraju botnet poslužitelje koji se nalaze izvana. Ozbiljnija zaštita interne mreže najvjerojatnije će zahtijevati složeniju konfiguraciju s distribuiranim sustavom i skupim upravljanim preklopnicima sposobnim za zrcaljenje prometa za IDS sučelje spojeno na jedan od portova.
Često su korporativne mreže podložne napadima distribuiranog uskraćivanja usluge (DDoS). Iako se moderni IDS-ovi mogu nositi s njima, gore navedena opcija postavljanja je od male pomoći. Sustav prepoznaje zlonamjernu aktivnost i blokira lažni promet, ali za to paketi moraju proći kroz vanjsku internetsku vezu i doći do mrežnog sučelja. Ovisno o intenzitetu napada, kanal za prijenos podataka možda neće moći podnijeti opterećenje i cilj napadača će biti postignut. Za takve slučajeve preporučujemo implementaciju IDS-a na virtualnom poslužitelju s poznatom boljom internetskom vezom. VPS možete povezati s lokalnom mrežom putem VPN-a, a zatim ćete morati konfigurirati usmjeravanje cjelokupnog vanjskog prometa kroz njega. Zatim, u slučaju DDoS napada, nećete morati voziti pakete kroz vezu do provajdera, oni će biti blokirani na vanjskom hostu.
Problem izbora
Vrlo je teško identificirati lidera među besplatnim sustavima. Odabir IDS-a/IPS-a određen je topologijom mreže, potrebnim sigurnosnim značajkama, kao i osobnim preferencijama administratora i njegovom željom da petlja po postavkama. Snort ima dužu povijest i bolje je dokumentiran, iako je podatke o Suricati također lako pronaći na internetu. U svakom slučaju, da biste ovladali sustavom, morat ćete se potruditi, što će se na kraju isplatiti - komercijalni hardver i hardversko-softverski IDS / IPS prilično su skupi i ne uklapaju se uvijek u proračun. Ne biste trebali žaliti za utrošenim vremenom, jer dobar administrator uvijek poboljšava svoje kvalifikacije na račun poslodavca. U ovoj situaciji svi su na dobitku. U sljedećem članku ćemo pogledati neke opcije za implementaciju Suricate i usporediti moderniji sustav s klasičnim IDS/IPS Snortom u praksi.
Izvor: www.habr.com