Réges-régen elég volt egy közönséges tűzfal és vírusirtó programok a helyi hálózat védelmére, de egy ilyen készlet már nem elég hatékony a modern hackerek támadásaival és az utóbbi időben elterjedt kártevőkkel szemben. A jó öreg tűzfal csak a csomagfejléceket elemzi, átadja vagy blokkolja azokat a formális szabályok szerint. Nem tud semmit a csomagok tartalmáról, ezért nem ismeri fel a behatolók külsőleg jogos cselekedeteit. A vírusirtó programok nem mindig kapják el a rosszindulatú programokat, ezért a rendszergazdának kell figyelnie a rendellenes tevékenységet és időben elkülöníteni a fertőzött gazdagépeket.
Számos fejlett eszköz létezik, amelyek lehetővé teszik a vállalat informatikai infrastruktúrájának védelmét. Ma a nyílt forráskódú behatolásjelző és -megelőzési rendszerekről lesz szó, amelyek drága hardver- és szoftverlicencek vásárlása nélkül is megvalósíthatók.
IDS/IPS besorolás
Az IDS (Intrusion Detection System) egy olyan rendszer, amely a gyanús tevékenységek regisztrálására szolgál a hálózaton vagy egy külön számítógépen. Eseménynaplókat vezet, és azokról értesíti az információbiztonságért felelős személyt. Az IDS a következő elemeket tartalmazza:
- szenzorok a hálózati forgalom, különféle naplók stb.
- elemző alrendszer, amely a kapott adatokban észleli a káros hatások jeleit;
- tárolás az elsődleges események és elemzési eredmények felhalmozására;
- kezelőkonzol.
Kezdetben az IDS-eket hely szerint osztályozták: összpontosíthattak az egyes csomópontok védelmére (gazda alapú vagy Host Intrusion Detection System - HIDS), vagy a teljes vállalati hálózat védelmére (hálózat alapú vagy hálózati behatolásérzékelő rendszer - NIDS). Érdemes megemlíteni az ún. APIDS (Alkalmazásprotokoll-alapú IDS): Az alkalmazási réteg protokolljainak korlátozott készletét figyelik, hogy észleljék a konkrét támadásokat, és nem elemzik mélyre a hálózati csomagokat. Az ilyen termékek általában proxykra hasonlítanak, és bizonyos szolgáltatások védelmére szolgálnak: webszerver és webalkalmazások (például PHP-ben írt), adatbázis-kiszolgálók stb. Ennek az osztálynak egy tipikus képviselője a mod_security az Apache webszerverhez.
Minket inkább az univerzális NIDS érdekel, amely a kommunikációs protokollok és a DPI (Deep Packet Inspection) csomagelemzési technológiák széles skáláját támogatja. Figyelemmel kísérik az összes átmenő forgalmat, az adatkapcsolati rétegtől kezdve, és a hálózati támadások széles körét, valamint az információkhoz való jogosulatlan hozzáférést észlelik. Az ilyen rendszerek gyakran elosztott architektúrával rendelkeznek, és kölcsönhatásba léphetnek különféle aktív hálózati berendezésekkel. Vegye figyelembe, hogy sok modern NIDS hibrid, és több megközelítést kombinál. A konfigurációtól és a beállításoktól függően különféle problémákat oldhatnak meg - például egy csomópont vagy a teljes hálózat védelme. Emellett a munkaállomásokhoz készült IDS funkcióit vírusirtó csomagok vették át, amelyek az információlopásra irányuló trójaiak terjedése miatt többfunkciós tűzfalakká alakultak, amelyek a gyanús forgalom felismerésének és blokkolásának feladatait is megoldják.
Az IDS kezdetben csak a rosszindulatú programok tevékenységét, a portszkennereket vagy mondjuk a vállalati biztonsági szabályzatok felhasználóinak megsértését tudta észlelni. Egy bizonyos esemény bekövetkeztekor értesítették az adminisztrátort, de gyorsan kiderült, hogy nem elég a támadás felismerése – le kell tiltani. Így az IDS átalakult IPS-vé (Intrusion Prevention Systems) – olyan behatolásmegelőző rendszerré, amely képes együttműködni a tűzfalakkal.
Észlelési módszerek
A modern behatolásészlelő és -megelőzési megoldások különféle módszereket alkalmaznak a rosszindulatú tevékenységek észlelésére, amelyek három kategóriába sorolhatók. Ez ad egy másik lehetőséget a rendszerek osztályozására:
- Az aláírás-alapú IDS/IPS mintákat keres a forgalomban, vagy figyeli a rendszerállapot-változásokat a hálózati támadások vagy fertőzési kísérletek észlelése érdekében. Gyakorlatilag nem adnak gyújtáskimaradást és hamis pozitív eredményt, de nem képesek felismerni az ismeretlen fenyegetéseket;
- Az anomáliát észlelő IDS-k nem használnak támadási aláírásokat. Felismerik az információs rendszerek rendellenes viselkedését (beleértve a hálózati forgalom anomáliáit is), és még az ismeretlen támadásokat is képesek észlelni. Az ilyen rendszerek meglehetősen sok hamis pozitív eredményt adnak, és helytelen használat esetén megbénítják a helyi hálózat működését;
- A szabályalapú IDS-ek így működnek: ha FACT, akkor ACTION. Valójában ezek tudásbázisokkal rendelkező szakértői rendszerek – tények és következtetési szabályok összessége. Az ilyen megoldások telepítése időigényes, és az adminisztrátornak részletes ismeretekkel kell rendelkeznie a hálózatról.
Az IDS fejlesztés története
Az internet és a vállalati hálózatok gyors fejlődésének korszaka a múlt század 90-es éveiben kezdődött, azonban a szakértők kissé korábban értetlenül álltak a fejlett hálózati biztonsági technológiák előtt. 1986-ban Dorothy Denning és Peter Neumann kiadta az IDES modellt (Intrusion detection expert system), amely a legtöbb modern behatolásjelző rendszer alapja lett. Szakértői rendszert használt az ismert támadások azonosítására, valamint statisztikai módszereket és felhasználói/rendszerprofilokat. Az IDES Sun munkaállomásokon futott, ellenőrizve a hálózati forgalmat és az alkalmazások adatait. 1993-ban megjelent a NIDES (Next-generation Intrusion Detection Expert System) – egy új generációs behatolásészlelő szakértői rendszer.
Denning és Neumann munkái alapján 1988-ban jelent meg a MIDAS (Multics intrusion detection and alerting system) szakértői rendszer P-BEST és LISP felhasználásával. Ezzel párhuzamosan létrejött a statisztikai módszereken alapuló Szénakazal rendszer is. Egy másik statisztikai anomália-detektort, a W&S-t (Wisdom & Sense) fejlesztették ki egy évvel később a Los Alamos Nemzeti Laboratóriumban. Az ipar fejlődése gyors ütemben haladt. Például 1990-ben az anomália-detektálást már megvalósították a TIM (Time-based inductive machine) rendszerben, szekvenciális felhasználói mintákon végzett induktív tanulással (közös LISP nyelv). Az NSM (Network Security Monitor) a hozzáférési mátrixokat hasonlította össze az anomáliák észleléséhez, az ISOA (Information Security Officer's Assistant) pedig különféle észlelési stratégiákat támogatott: statisztikai módszereket, profilellenőrzést és szakértői rendszert. Az AT & T Bell Labs-nál megalkotott ComputerWatch rendszer statisztikai módszereket és szabályokat egyaránt alkalmazott az ellenőrzéshez, és a Kaliforniai Egyetem fejlesztői még 1991-ben megkapták az elosztott IDS első prototípusát – a DIDS (Distributed intrusion detection system) is szakértő volt. rendszer.
Eleinte az IDS saját tulajdona volt, de már 1998-ban a Nemzeti Laboratórium. Lawrence a Berkeley-nél kiadta a Brot (2018-ban átnevezték Zeek-re), egy nyílt forráskódú rendszert, amely saját szabálynyelvét használja a libpcap adatok elemzéséhez. Ugyanezen év novemberében megjelent a libpcap-et használó APE csomagszimuláló, amelyet egy hónappal később Snort névre kereszteltek, és később teljes értékű IDS / IPS lett. Ezzel egy időben számos szabadalmaztatott megoldás kezdett megjelenni.
Snort és Suricata
Sok vállalat előnyben részesíti az ingyenes és nyílt forráskódú IDS/IPS-t. Sokáig a már említett Snort számított standard megoldásnak, most azonban a Suricata rendszer váltotta fel. Fontolja meg előnyeiket és hátrányaikat egy kicsit részletesebben. A Snort egyesíti az aláírási módszer előnyeit az anomáliák valós idejű észlelésének képességével. A Suricata más módszereket is lehetővé tesz a támadási aláírások észlelése mellett. A rendszert a Snort projektből kivált fejlesztők egy csoportja hozta létre, és az 1.4-es verzió óta támogatja az IPS funkciókat, míg a behatolásvédelem később jelent meg a Snortban.
A fő különbség a két népszerű termék között az, hogy a Suricata képes a GPU-t IDS-számításhoz használni, valamint a fejlettebb IPS-t. A rendszert eredetileg többszálas feldolgozásra tervezték, míg a Snort egyszálú termék. Hosszú története és örökölt kódja miatt nem használja ki optimálisan a többprocesszoros/többmagos hardverplatformokat, míg a Suricata akár 10 Gbps-os forgalmat is képes kezelni normál általános célú számítógépeken. A két rendszer közötti hasonlóságokról és különbségekről még sokáig lehet beszélni, de bár a Suricata motor gyorsabban működik, a nem túl széles csatornáknál ez nem számít.
Telepítési lehetőségek
Az IPS-t úgy kell elhelyezni, hogy a rendszer figyelemmel kísérhesse az irányítása alá tartozó hálózati szegmenseket. Leggyakrabban ez egy dedikált számítógép, amelynek egyik interfésze a szélső eszközök után csatlakozik, és rajtuk keresztül „néz” a nem biztonságos nyilvános hálózatokra (internet). Egy másik IPS interfész csatlakozik a védett szegmens bemenetéhez, így az összes forgalom áthalad a rendszeren és elemzésre kerül. Bonyolultabb esetekben több védett szegmens is létezhet: például a vállalati hálózatokban gyakran egy demilitarizált zónát (DMZ) osztanak ki az internetről elérhető szolgáltatásokkal.
Egy ilyen IPS megakadályozhatja a portellenőrzést vagy a brute force támadásokat, a levelezőszerver, webszerver vagy szkriptek sebezhetőségeinek kihasználását, valamint más típusú külső támadásokat. Ha a helyi hálózaton lévő számítógépek rosszindulatú programokkal fertőzöttek, az IDS nem engedi, hogy kapcsolatba lépjenek a külső botnet szerverekkel. A belső hálózat komolyabb védelméhez nagy valószínűséggel összetett konfigurációra lesz szükség, elosztott rendszerrel és költséges menedzselt switchekkel, amelyek képesek tükrözni a forgalmat az egyik porthoz csatlakoztatott IDS interfészhez.
A vállalati hálózatok gyakran vannak kitéve elosztott szolgáltatásmegtagadási (DDoS) támadásoknak. Bár a modern IDS-ek képesek megbirkózni velük, a fenti telepítési lehetőség itt nem sokat segít. A rendszer felismeri a rosszindulatú tevékenységeket, és blokkolja a hamis forgalmat, de ehhez a csomagoknak egy külső internetkapcsolaton kell áthaladniuk és el kell jutniuk a hálózati interfészére. A támadás intenzitásától függően előfordulhat, hogy az adatátviteli csatorna nem tud megbirkózni a terheléssel, és a támadók célja megvalósul. Ilyen esetekben javasoljuk az IDS telepítését egy ismert, jobb internetkapcsolattal rendelkező virtuális szerverre. A VPS-t VPN-en keresztül csatlakoztathatja a helyi hálózathoz, majd konfigurálnia kell az összes külső forgalom ezen keresztül történő irányítását. Ekkor DDoS támadás esetén nem kell csomagokat vezetni a kapcsolaton keresztül a szolgáltatóhoz, azok blokkolva lesznek a külső gazdagépen.
A választás problémája
Az ingyenes rendszerek között nagyon nehéz vezetőt azonosítani. Az IDS / IPS kiválasztását a hálózati topológia, a szükséges védelmi funkciók, valamint a rendszergazda személyes preferenciái és a beállításokkal való bíbelődési vágya határozza meg. A Snort története hosszabb, és jobban dokumentált, bár a Suricatával kapcsolatos információk az interneten is könnyen megtalálhatók. Mindenesetre a rendszer elsajátításához erőfeszítéseket kell tennie, ami végül megtérül - a kereskedelmi hardver és hardver-szoftver IDS / IPS meglehetősen drágák, és nem mindig férnek bele a költségvetésbe. Nem szabad sajnálni a ráfordított időt, mert egy jó ügyintéző mindig a munkáltató rovására fejleszti képzettségét. Ebben a helyzetben mindenki nyer. A következő cikkben megvizsgálunk néhány lehetőséget a Suricata telepítésére, és a gyakorlatban összehasonlítjuk a modernebb rendszert a klasszikus IDS/IPS Snorttal.
Forrás: will.com