Ժամանակին սովորական firewall-ը և հակավիրուսային ծրագրերը բավական էին տեղական ցանցը պաշտպանելու համար, բայց նման հավաքածուն այլևս բավականաչափ արդյունավետ չէ ժամանակակից հաքերների հարձակումների և վերջերս տարածված չարամիտ ծրագրերի դեմ: Հին բարի firewall-ը վերլուծում է միայն փաթեթների վերնագրերը՝ փոխանցելով կամ արգելափակելով դրանք մի շարք պաշտոնական կանոնների համաձայն: Այն ոչինչ չգիտի փաթեթների բովանդակության մասին և, հետևաբար, չի կարող ճանաչել ներխուժողների արտաքուստ օրինական գործողությունները: Հակավիրուսային ծրագրերը միշտ չէ, որ բռնում են չարամիտ ծրագրերը, ուստի ադմինիստրատորի առջեւ խնդիր է դրված վերահսկել անոմալ գործունեությունը և ժամանակին մեկուսացնել վարակված հյուրընկալողներին:
Կան բազմաթիվ առաջադեմ գործիքներ, որոնք թույլ են տալիս պաշտպանել ընկերության ՏՏ ենթակառուցվածքը: Այսօր մենք կխոսենք բաց կոդով ներխուժման հայտնաբերման և կանխարգելման համակարգերի մասին, որոնք կարող են ներդրվել առանց թանկարժեք սարքավորումների և ծրագրային ապահովման լիցենզիաներ գնելու:
IDS/IPS դասակարգում
IDS-ը (Intrusion Detection System) համակարգ է, որը նախատեսված է ցանցում կամ առանձին համակարգչի վրա կասկածելի գործողություններ գրանցելու համար: Այն պահպանում է իրադարձությունների տեղեկամատյանները և դրանց մասին տեղեկացնում է տեղեկատվական անվտանգության համար պատասխանատու անձին: IDS-ն ներառում է հետևյալ տարրերը.
- սենսորներ ցանցային երթևեկությունը դիտելու համար, տարբեր տեղեկամատյաններ և այլն:
- վերլուծության ենթահամակարգ, որը հայտնաբերում է ստացված տվյալների մեջ վնասակար ազդեցության նշաններ.
- պահեստավորում առաջնային իրադարձությունների և վերլուծության արդյունքների կուտակման համար.
- կառավարման վահանակ:
Սկզբում IDS-ները դասակարգվում էին ըստ գտնվելու վայրի. դրանք կարող էին կենտրոնանալ առանձին հանգույցների պաշտպանության վրա (հոսթի վրա հիմնված կամ հյուրընկալող ներխուժման հայտնաբերման համակարգ - HIDS) կամ պաշտպանել ամբողջ կորպորատիվ ցանցը (ցանցային կամ ցանցային ներխուժման հայտնաբերման համակարգ - NIDS): Հարկ է նշել այսպես կոչված. APIDS (Application protocol-ի վրա հիմնված IDS). Նրանք վերահսկում են կիրառական շերտի արձանագրությունների սահմանափակ շարք՝ կոնկրետ հարձակումներ հայտնաբերելու համար և չեն խորը վերլուծում ցանցային փաթեթները: Նման արտադրանքները սովորաբար հիշեցնում են պրոքսիներ և օգտագործվում են հատուկ ծառայություններ պաշտպանելու համար՝ վեբ սերվեր և վեբ հավելվածներ (օրինակ՝ գրված PHP-ով), տվյալների բազայի սերվերներ և այլն։ Այս դասի տիպիկ ներկայացուցիչը mod_security է Apache վեբ սերվերի համար:
Մենք ավելի շատ հետաքրքրված ենք ունիվերսալ NIDS-ներով, որոնք աջակցում են կապի արձանագրությունների լայն շրջանակ և DPI (Deep Packet Inspection) փաթեթների վերլուծության տեխնոլոգիաներ: Նրանք վերահսկում են անցնող բոլոր տրաֆիկները՝ սկսած տվյալների կապի շերտից, և հայտնաբերում են ցանցային հարձակումների լայն շրջանակ, ինչպես նաև տեղեկատվության չարտոնված մուտք: Հաճախ նման համակարգերն ունեն բաշխված ճարտարապետություն և կարող են փոխազդել տարբեր ակտիվ ցանցային սարքավորումների հետ: Նկատի ունեցեք, որ ժամանակակից NIDS-ներից շատերը հիբրիդ են և համատեղում են մի քանի մոտեցումներ: Կախված կազմաձևից և պարամետրերից, նրանք կարող են լուծել տարբեր խնդիրներ, օրինակ, պաշտպանել մեկ հանգույց կամ ամբողջ ցանցը: Բացի այդ, աշխատանքային կայանների համար IDS-ի գործառույթները ստանձնել են հակավիրուսային փաթեթները, որոնք տեղեկատվության գողությանն ուղղված տրոյականների տարածման պատճառով վերածվել են բազմաֆունկցիոնալ firewalls-ի, որոնք լուծում են նաև կասկածելի երթևեկության ճանաչման և արգելափակման խնդիրները:
Ի սկզբանե IDS-ն կարող էր հայտնաբերել միայն չարամիտ ծրագրերի ակտիվությունը, նավահանգիստների սկաներները կամ, ասենք, օգտագործողների կողմից կորպորատիվ անվտանգության քաղաքականության խախտումները: Երբ որոշակի իրադարձություն տեղի ունեցավ, նրանք տեղեկացրին ադմինիստրատորին, բայց արագ պարզվեց, որ պարզապես հարձակումը ճանաչելը բավարար չէ. այն պետք է արգելափակել: Այսպիսով, IDS-ը վերածվեց IPS-ի (Intrusion Prevention Systems)՝ ներխուժման կանխարգելման համակարգեր, որոնք կարող են փոխազդել firewalls-ի հետ:
Հայտնաբերման մեթոդներ
Ներխուժման հայտնաբերման և կանխարգելման ժամանակակից լուծումները օգտագործում են տարբեր մեթոդներ վնասակար գործունեությունը հայտնաբերելու համար, որոնք կարելի է բաժանել երեք կատեգորիայի. Սա մեզ տալիս է համակարգերի դասակարգման ևս մեկ տարբերակ.
- Ստորագրության վրա հիմնված IDS/IPS-ը փնտրում է օրինաչափություններ երթևեկության մեջ կամ վերահսկում է համակարգի վիճակի փոփոխությունները՝ ցանցի հարձակման կամ վարակման փորձ հայտնաբերելու համար: Նրանք գործնականում չեն տալիս սխալներ և կեղծ պոզիտիվներ, բայց չեն կարողանում բացահայտել անհայտ սպառնալիքները.
- Անոմալիա հայտնաբերող IDS-ները չեն օգտագործում հարձակման ստորագրություններ: Նրանք ճանաչում են տեղեկատվական համակարգերի աննորմալ վարքագիծը (ներառյալ ցանցային տրաֆիկի անոմալիաները) և կարող են հայտնաբերել նույնիսկ անհայտ հարձակումները: Նման համակարգերը տալիս են բավականին շատ կեղծ պոզիտիվներ և սխալ օգտագործման դեպքում կաթվածահար են անում տեղական ցանցի աշխատանքը.
- Կանոնների վրա հիմնված IDS-ներն աշխատում են այսպես՝ եթե ՓԱՍՏ, ապա ԱԿՑԻԱ: Իրականում դրանք փորձագիտական համակարգեր են՝ գիտելիքի հիմքերով՝ փաստերի և եզրակացության կանոնների մի շարք: Նման լուծումները կարգավորելու համար ժամանակատար են և պահանջում են, որ ադմինիստրատորը մանրամասն պատկերացում ունենա ցանցի մասին:
IDS-ի զարգացման պատմություն
Ինտերնետի և կորպորատիվ ցանցերի արագ զարգացման դարաշրջանը սկսվել է անցյալ դարի 90-ական թվականներին, սակայն փորձագետներին մի փոքր ավելի վաղ տարակուսում էին ցանցային անվտանգության առաջադեմ տեխնոլոգիաները: 1986 թվականին Դորոթի Դենինգը և Պիտեր Նոյմանը հրապարակեցին IDES մոդելը (Intrusion detection expert system), որը դարձավ ներխուժման հայտնաբերման ժամանակակից համակարգերի հիմքը։ Նա օգտագործել է փորձագիտական համակարգ՝ հայտնաբերելու հայտնի հարձակումները, ինչպես նաև վիճակագրական մեթոդները և օգտագործողների/համակարգի պրոֆիլները: IDES-ն աշխատում էր Sun աշխատանքային կայաններում՝ ստուգելով ցանցի տրաֆիկը և հավելվածների տվյալները: 1993 թվականին թողարկվեց NIDES-ը (Հաջորդ սերնդի ներխուժման հայտնաբերման փորձագիտական համակարգ)՝ նոր սերնդի ներխուժման հայտնաբերման փորձագիտական համակարգ:
Դենինգի և Նոյմանի աշխատանքի հիման վրա MIDAS (Multics intrusion detection and alarming system) փորձագիտական համակարգը հայտնվեց 1988 թվականին՝ օգտագործելով P-BEST և LISP: Միաժամանակ ստեղծվել է վիճակագրական մեթոդների վրա հիմնված Haystack համակարգը։ Մեկ այլ վիճակագրական անոմալիա դետեկտոր՝ W&S (Wisdom & Sense), մշակվել է մեկ տարի անց Լոս Ալամոսի ազգային լաբորատորիայում: Արդյունաբերության զարգացումն ընթացավ արագ տեմպերով։ Օրինակ, 1990 թվականին անոմալիաների հայտնաբերումն արդեն ներդրվել է TIM (Ժամանակի վրա հիմնված ինդուկտիվ մեքենա) համակարգում՝ օգտագործելով ինդուկտիվ ուսուցում հաջորդական օգտագործողների օրինաչափությունների վրա (Common LISP լեզու): NSM-ը (Ցանցի անվտանգության մոնիտոր) համեմատեց մուտքի մատրիցաները անոմալիաների հայտնաբերման համար, և ISOA-ն (Տեղեկատվական անվտանգության աշխատակիցների օգնական) աջակցեց հայտնաբերման տարբեր ռազմավարություններին. վիճակագրական մեթոդներ, պրոֆիլների ստուգում և փորձագիտական համակարգ: AT & T Bell Labs-ում ստեղծված ComputerWatch համակարգը ստուգման համար օգտագործեց և՛ վիճակագրական մեթոդներ, և՛ կանոններ, և Կալիֆորնիայի համալսարանի մշակողները ստացան բաշխված IDS-ի առաջին նախատիպը դեռևս 1991 թվականին. DIDS (Distributed intrusion detection system) նույնպես փորձագետ էր: համակարգ.
Սկզբում IDS-ն սեփականություն էր, բայց արդեն 1998-ին Ազգային լաբորատորիան: Լոուրենսը Բերկլիում թողարկեց Bro (2018-ին վերանվանվել է Zeek), բաց կոդով համակարգ, որն օգտագործում է իր կանոնների լեզուն libpcap-ի տվյալները վերլուծելու համար: Նույն թվականի նոյեմբերին հայտնվեց libpcap օգտագործող APE փաթեթների խուզարկիչը, որը մեկ ամիս անց վերանվանվեց Snort, իսկ ավելի ուշ դարձավ լիարժեք IDS / IPS: Միևնույն ժամանակ սկսեցին հայտնվել բազմաթիվ սեփականության լուծումներ։
Snort և Suricata
Շատ ընկերություններ նախընտրում են անվճար և բաց կոդով IDS/IPS: Երկար ժամանակ արդեն նշված Snort-ը համարվում էր ստանդարտ լուծում, սակայն այժմ այն փոխարինվել է Suricata համակարգով։ Դիտարկենք դրանց առավելություններն ու թերությունները մի փոքր ավելի մանրամասն: Snort-ը համատեղում է ստորագրության մեթոդի առավելությունները իրական ժամանակում անոմալիաները հայտնաբերելու ունակության հետ: Suricata-ն նաև թույլ է տալիս այլ մեթոդներ, բացի հարձակման ստորագրության հայտնաբերումից: Համակարգը ստեղծվել է մի խումբ ծրագրավորողների կողմից, ովքեր անջատվել են Snort նախագծից և աջակցում են IPS-ի հնարավորությունները 1.4 տարբերակից ի վեր, մինչդեռ ներխուժման կանխարգելումը հայտնվեց Snort-ում ավելի ուշ:
Երկու հանրաճանաչ արտադրանքների միջև հիմնական տարբերությունը Suricata-ի կարողությունն է՝ օգտագործելու GPU-ն IDS հաշվարկների համար, ինչպես նաև ավելի առաջադեմ IPS: Համակարգն ի սկզբանե նախատեսված էր բազմաթելերի համար, մինչդեռ Snort-ը մեկ թելերով արտադրանք է: Իր երկար պատմության և ժառանգական կոդի շնորհիվ այն օպտիմալ կերպով չի օգտագործում բազմապրոցեսորային/բազմաբջջային ապարատային հարթակները, մինչդեռ Suricata-ն կարող է կառավարել մինչև 10 Գբ/վ արագությամբ տրաֆիկը սովորական ընդհանուր նշանակության համակարգիչների վրա: Դուք կարող եք երկար խոսել երկու համակարգերի նմանությունների և տարբերությունների մասին, բայց չնայած Suricata շարժիչն ավելի արագ է աշխատում, ոչ շատ լայն ալիքների համար դա նշանակություն չունի:
Տեղակայման ընտրանքներ
IPS-ը պետք է տեղադրվի այնպես, որ համակարգը կարողանա վերահսկել իր վերահսկողության տակ գտնվող ցանցի հատվածները: Ամենից հաճախ սա հատուկ համակարգիչ է, որի մեկ ինտերֆեյսը միանում է եզրային սարքերից հետո և դրանց միջոցով «նայում» դեպի անապահով հանրային ցանցեր (Ինտերնետ): Մեկ այլ IPS ինտերֆեյս միացված է պաշտպանված հատվածի մուտքին, որպեսզի ամբողջ տրաֆիկը անցնի համակարգով և վերլուծվի: Ավելի բարդ դեպքերում կարող են լինել մի քանի պաշտպանված հատվածներ. օրինակ, կորպորատիվ ցանցերում ապառազմականացված գոտին (DMZ) հաճախ հատկացվում է ինտերնետից հասանելի ծառայություններով:
Նման IPS-ը կարող է կանխել նավահանգիստների սկանավորումը կամ բիրտ ուժի հարձակումները, փոստի սերվերի, վեբ սերվերի կամ սկրիպտների խոցելիության օգտագործումը, ինչպես նաև արտաքին հարձակումների այլ տեսակներ: Եթե տեղական ցանցի համակարգիչները վարակված են չարամիտ ծրագրերով, IDS-ն թույլ չի տա նրանց կապ հաստատել դրսում գտնվող բոտնետ սերվերների հետ։ Ներքին ցանցի ավելի լուրջ պաշտպանությունը, ամենայն հավանականությամբ, կպահանջի բարդ կոնֆիգուրացիա՝ բաշխված համակարգով և թանկարժեք կառավարվող անջատիչներով, որոնք կարող են արտացոլել տրաֆիկը IDS ինտերֆեյսի համար, որը միացված է նավահանգիստներից մեկին:
Հաճախ կորպորատիվ ցանցերը ենթակա են բաշխված հերքման (DDoS) հարձակումների: Թեև ժամանակակից IDS-ները կարող են գործ ունենալ դրանց հետ, վերը նշված տեղակայման տարբերակն այստեղ քիչ է օգնում: Համակարգը ճանաչում է վնասակար գործունեությունը և արգելափակում կեղծ երթևեկությունը, սակայն դրա համար փաթեթները պետք է անցնեն արտաքին ինտերնետ կապով և հասնեն իր ցանցային ինտերֆեյսին: Կախված հարձակման ինտենսիվությունից, տվյալների փոխանցման ալիքը կարող է չկարողանալ հաղթահարել ծանրաբեռնվածությունը, և հարձակվողների նպատակը կհասնի: Նման դեպքերի համար խորհուրդ ենք տալիս IDS-ը տեղակայել վիրտուալ սերվերի վրա՝ հայտնի ավելի լավ ինտերնետ կապով: Դուք կարող եք միացնել VPS-ը տեղական ցանցին VPN-ի միջոցով, այնուհետև ձեզ հարկավոր է կարգավորել դրա միջոցով ամբողջ արտաքին տրաֆիկի երթուղավորումը: Այնուհետև, DDoS հարձակման դեպքում, դուք ստիպված չեք լինի փաթեթներ վարել մատակարարի հետ կապի միջոցով, դրանք կարգելափակվեն արտաքին հոսթում:
Ընտրության խնդիր
Ազատ համակարգերի շարքում շատ դժվար է առաջատար գտնել։ IDS / IPS-ի ընտրությունը որոշվում է ցանցի տոպոլոգիայի, անվտանգության անհրաժեշտ հատկանիշների, ինչպես նաև ադմինիստրատորի անձնական նախասիրությունների և կարգավորումների հետ շփվելու նրա ցանկության հիման վրա: Snort-ն ավելի երկար պատմություն ունի և ավելի լավ է փաստաթղթավորված, թեև Suricata-ի մասին տեղեկատվությունը նույնպես հեշտ է գտնել առցանց: Ամեն դեպքում, համակարգը տիրապետելու համար դուք ստիպված կլինեք որոշակի ջանքեր գործադրել, որոնք ի վերջո կվճարեն՝ առևտրային սարքավորումները և ապարատային-ծրագրային IDS/IPS-ները բավականին թանկ են և միշտ չէ, որ տեղավորվում են բյուջեի մեջ: Պետք չէ ափսոսալ ծախսած ժամանակի համար, քանի որ լավ ադմինիստրատորը միշտ բարձրացնում է իր որակավորումը գործատուի հաշվին։ Այս իրավիճակում հաղթում են բոլորը։ Հաջորդ հոդվածում մենք կդիտարկենք Suricata-ի տեղակայման որոշ տարբերակներ և համեմատելու ենք ավելի ժամանակակից համակարգը դասական IDS/IPS Snort-ի հետ գործնականում:
Source: www.habr.com