Dahulu, firewall biasa dan program anti-virus sudah cukup untuk melindungi jaringan lokal, namun rangkaian tersebut tidak lagi cukup efektif melawan serangan peretas modern dan malware yang akhir-akhir ini menjamur. Firewall lama yang baik hanya menganalisis header paket, meneruskan atau memblokirnya sesuai dengan seperangkat aturan formal. Ia tidak mengetahui apa pun tentang isi paket tersebut, dan oleh karena itu tidak dapat mengakui tindakan penyusup yang secara lahiriah sah. Program anti-virus tidak selalu menangkap malware, sehingga administrator dihadapkan pada tugas memantau aktivitas anomali dan mengisolasi host yang terinfeksi secara tepat waktu.
Ada banyak alat canggih yang memungkinkan Anda melindungi infrastruktur TI perusahaan. Hari ini kita akan berbicara tentang sistem deteksi dan pencegahan intrusi open source yang dapat diimplementasikan tanpa membeli lisensi perangkat keras dan perangkat lunak yang mahal.
Klasifikasi IDS/IPS
IDS (Intrusion Detection System) adalah sistem yang dirancang untuk mencatat aktivitas mencurigakan di jaringan atau di komputer terpisah. Ini memelihara log peristiwa dan memberi tahu orang yang bertanggung jawab atas keamanan informasi tentangnya. IDS mencakup elemen-elemen berikut:
- sensor untuk melihat lalu lintas jaringan, berbagai log, dll.
- subsistem analisis yang mendeteksi tanda-tanda dampak berbahaya pada data yang diterima;
- penyimpanan akumulasi peristiwa utama dan hasil analisis;
- konsol manajemen.
Awalnya, IDS diklasifikasikan berdasarkan lokasi: mereka dapat difokuskan untuk melindungi node individu (berbasis host atau Sistem Deteksi Intrusi Host - HIDS) atau melindungi seluruh jaringan perusahaan (berbasis jaringan atau Sistem Deteksi Intrusi Jaringan - NIDS). Perlu disebutkan apa yang disebut. APIDS (IDS berbasis protokol aplikasi): mereka memantau serangkaian protokol lapisan aplikasi terbatas untuk mendeteksi serangan tertentu dan tidak menganalisis paket jaringan secara mendalam. Produk semacam itu biasanya menyerupai proxy dan digunakan untuk melindungi layanan tertentu: server web dan aplikasi web (misalnya, ditulis dalam PHP), server database, dll. Perwakilan khas dari kelas ini adalah mod_security untuk server web Apache.
Kami lebih tertarik pada NIDS universal yang mendukung berbagai protokol komunikasi dan teknologi analisis paket DPI (Deep Packet Inspection). Mereka memantau semua lalu lintas yang lewat, mulai dari lapisan data link, dan mendeteksi berbagai serangan jaringan, serta akses tidak sah terhadap informasi. Seringkali sistem seperti itu memiliki arsitektur terdistribusi dan dapat berinteraksi dengan berbagai peralatan jaringan aktif. Perhatikan bahwa banyak NIDS modern bersifat hibrid dan menggabungkan beberapa pendekatan. Tergantung pada konfigurasi dan pengaturannya, mereka dapat memecahkan berbagai masalah - misalnya, melindungi satu node atau seluruh jaringan. Selain itu, fungsi IDS untuk workstation diambil alih oleh paket anti-virus, yang karena penyebaran Trojan yang bertujuan mencuri informasi, berubah menjadi firewall multifungsi yang juga menyelesaikan tugas mengenali dan memblokir lalu lintas yang mencurigakan.
Awalnya, IDS hanya dapat mendeteksi aktivitas malware, pemindai port, atau, misalnya, pelanggaran pengguna terhadap kebijakan keamanan perusahaan. Ketika peristiwa tertentu terjadi, mereka memberi tahu administrator, tetapi dengan cepat menjadi jelas bahwa mengenali serangan saja tidak cukup - serangan itu perlu diblokir. Jadi IDS bertransformasi menjadi IPS (Intrusion Prevention Systems) - sistem pencegahan intrusi yang dapat berinteraksi dengan firewall.
Metode deteksi
Solusi deteksi dan pencegahan intrusi modern menggunakan berbagai metode untuk mendeteksi aktivitas berbahaya, yang dapat dibagi menjadi tiga kategori. Ini memberi kita pilihan lain untuk mengklasifikasikan sistem:
- IDS/IPS berbasis tanda tangan mencari pola lalu lintas atau memantau perubahan status sistem untuk mendeteksi serangan jaringan atau upaya infeksi. Mereka praktis tidak memberikan kesalahan sasaran dan kesalahan positif, tetapi tidak mampu mengidentifikasi ancaman yang tidak diketahui;
- IDS pendeteksi anomali tidak menggunakan tanda tangan serangan. Mereka mengenali perilaku abnormal sistem informasi (termasuk anomali dalam lalu lintas jaringan) dan bahkan dapat mendeteksi serangan yang tidak diketahui. Sistem seperti itu memberikan cukup banyak kesalahan positif dan, jika digunakan secara tidak benar, melumpuhkan pengoperasian jaringan lokal;
- IDS berbasis aturan berfungsi seperti: jika FAKTA maka TINDAKAN. Faktanya, ini adalah sistem pakar dengan basis pengetahuan - seperangkat fakta dan aturan inferensi. Solusi seperti itu memakan waktu lama untuk disiapkan dan memerlukan administrator untuk memiliki pemahaman mendetail tentang jaringan.
Sejarah perkembangan IDS
Era perkembangan pesat Internet dan jaringan perusahaan dimulai pada tahun 90-an abad terakhir, namun para ahli dibuat bingung oleh teknologi keamanan jaringan yang canggih lebih awal. Pada tahun 1986, Dorothy Denning dan Peter Neumann menerbitkan model IDES (Intrusion Detection Expert System), yang menjadi dasar sebagian besar sistem deteksi intrusi modern. Dia menggunakan sistem pakar untuk mengidentifikasi serangan yang diketahui, serta metode statistik dan profil pengguna/sistem. IDES berjalan di stasiun kerja Sun, memeriksa lalu lintas jaringan dan data aplikasi. Pada tahun 1993, NIDES (Sistem Pakar Deteksi Intrusi Generasi Berikutnya) dirilis - sistem pakar deteksi intrusi generasi baru.
Berdasarkan karya Denning dan Neumann, sistem pakar MIDAS (Multics intrusion recognition and alerting system) muncul pada tahun 1988, menggunakan P-BEST dan LISP. Pada saat yang sama, sistem Haystack berdasarkan metode statistik telah dibuat. Detektor anomali statistik lainnya, W&S (Wisdom & Sense), dikembangkan setahun kemudian di Laboratorium Nasional Los Alamos. Perkembangan industri berjalan dengan pesat. Misalnya saja pada tahun 1990, deteksi anomali sudah diimplementasikan pada sistem TIM (Time-based induction machine) dengan menggunakan pembelajaran induktif pada pola pengguna sekuensial (Common LISP Language). NSM (Network Security Monitor) membandingkan matriks akses untuk deteksi anomali, dan ISOA (Information Security Officer's Assistant) mendukung berbagai strategi deteksi: metode statistik, pemeriksaan profil, dan sistem pakar. Sistem ComputerWatch yang dibuat di AT&T Bell Labs menggunakan metode statistik dan aturan untuk verifikasi, dan pengembang Universitas California menerima prototipe pertama IDS terdistribusi pada tahun 1991 - DIDS (Sistem deteksi intrusi terdistribusi) juga ahlinya sistem.
Pada awalnya, IDS adalah hak milik, tetapi sudah pada tahun 1998, Laboratorium Nasional. Lawrence di Berkeley merilis Bro (berganti nama menjadi Zeek pada tahun 2018), sebuah sistem sumber terbuka yang menggunakan bahasa aturannya sendiri untuk mengurai data libpcap. Pada bulan November tahun yang sama, sniffer paket APE menggunakan libpcap muncul, yang sebulan kemudian berganti nama menjadi Snort, dan kemudian menjadi IDS/IPS yang lengkap. Pada saat yang sama, banyak solusi eksklusif mulai bermunculan.
Mendengus dan Suricata
Banyak perusahaan lebih memilih IDS/IPS yang gratis dan open source. Untuk waktu yang lama, Snort yang disebutkan dianggap sebagai solusi standar, tetapi sekarang telah digantikan oleh sistem Suricata. Mari kita pertimbangkan kelebihan dan kekurangannya secara lebih rinci. Snort menggabungkan keunggulan metode tanda tangan dengan deteksi anomali waktu nyata. Suricata juga mengizinkan metode lain selain deteksi tanda tangan serangan. Sistem ini dibuat oleh sekelompok pengembang yang memisahkan diri dari proyek Snort dan mendukung fitur IPS sejak versi 1.4, sementara pencegahan intrusi muncul di Snort setelahnya.
Perbedaan utama antara kedua produk populer ini adalah kemampuan Suricata dalam menggunakan GPU untuk komputasi IDS, serta IPS yang lebih canggih. Sistem ini awalnya dirancang untuk multi-threading, sedangkan Snort adalah produk single-threaded. Karena sejarahnya yang panjang dan kode warisannya, ia tidak memanfaatkan platform perangkat keras multi-prosesor/multi-inti secara optimal, sementara Suricata dapat menangani lalu lintas hingga 10 Gbps pada komputer tujuan umum normal. Persamaan dan perbedaan kedua sistem dapat dibicarakan sejak lama, namun meskipun mesin Suricata bekerja lebih cepat, untuk saluran yang tidak terlalu lebar tidak menjadi masalah.
Opsi penerapan
IPS harus ditempatkan sedemikian rupa sehingga sistem dapat memantau segmen jaringan yang berada di bawah kendalinya. Paling sering, ini adalah komputer khusus, salah satu antarmukanya terhubung setelah perangkat edge dan βmelihatβ melalui mereka ke jaringan publik yang tidak aman (Internet). Antarmuka IPS lainnya terhubung ke input segmen yang dilindungi sehingga semua lalu lintas melewati sistem dan dianalisis. Dalam kasus yang lebih kompleks, mungkin terdapat beberapa segmen yang dilindungi: misalnya, dalam jaringan perusahaan, zona demiliterisasi (DMZ) sering kali dialokasikan dengan layanan yang dapat diakses dari Internet.
IPS semacam itu dapat mencegah pemindaian port atau serangan brute force, eksploitasi kerentanan di server email, server web atau skrip, serta jenis serangan eksternal lainnya. Jika komputer di jaringan lokal terinfeksi malware, IDS tidak akan mengizinkannya menghubungi server botnet yang terletak di luar. Perlindungan jaringan internal yang lebih serius kemungkinan besar akan memerlukan konfigurasi yang kompleks dengan sistem terdistribusi dan sakelar terkelola yang mahal yang mampu mencerminkan lalu lintas untuk antarmuka IDS yang terhubung ke salah satu port.
Seringkali jaringan perusahaan menjadi sasaran serangan penolakan layanan terdistribusi (DDoS). Meskipun IDS modern dapat mengatasinya, opsi penerapan di atas tidak banyak membantu di sini. Sistem mengenali aktivitas jahat dan memblokir lalu lintas palsu, tetapi untuk ini, paket harus melalui koneksi Internet eksternal dan mencapai antarmuka jaringannya. Tergantung pada intensitas serangan, saluran transmisi data mungkin tidak mampu mengatasi beban dan tujuan penyerang akan tercapai. Untuk kasus seperti ini, kami merekomendasikan penerapan IDS pada server virtual dengan koneksi internet yang dikenal lebih baik. Anda dapat menghubungkan VPS ke jaringan lokal melalui VPN, dan kemudian Anda perlu mengonfigurasi perutean semua lalu lintas eksternal yang melaluinya. Kemudian, jika terjadi serangan DDoS, Anda tidak perlu mengirimkan paket melalui koneksi ke penyedia, paket tersebut akan diblokir di host eksternal.
Masalah pilihan
Sangat sulit untuk mengidentifikasi pemimpin di antara sistem bebas. Pilihan IDS/IPS ditentukan oleh topologi jaringan, fungsi perlindungan yang diperlukan, serta preferensi pribadi administrator dan keinginannya untuk mengutak-atik pengaturan. Snort memiliki sejarah yang lebih panjang dan dokumentasi yang lebih baik, meskipun informasi tentang Suricata juga mudah ditemukan secara online. Bagaimanapun, untuk menguasai sistem, Anda harus melakukan beberapa upaya, yang pada akhirnya akan membuahkan hasil - perangkat keras komersial dan perangkat lunak IDS / IPS cukup mahal dan tidak selalu sesuai dengan anggaran. Anda tidak boleh menyesali waktu yang dihabiskan, karena administrator yang baik selalu meningkatkan kualifikasinya dengan mengorbankan pemberi kerja. Dalam situasi ini, semua orang menang. Pada artikel berikutnya, kita akan melihat beberapa opsi untuk menerapkan Suricata dan membandingkan sistem yang lebih modern dengan IDS/IPS Snort klasik dalam praktiknya.
Sumber: www.habr.com