N'otu oge, firewall nkịtị na mmemme mgbochi nje zuru ezu iji chebe netwọkụ mpaghara, mana usoro dị otú ahụ adịghịzi arụ ọrụ nke ọma megide mwakpo nke ndị hackers ọgbara ọhụrụ na malware nke mụbaworo n'oge na-adịbeghị anya. The ezigbo firewall ochie na-enyocha naanị ngwugwu nkụnye eji isi mee, na-agafe ma ọ bụ na-egbochi ha dị ka usoro iwu kwadoro. Ọ maghị ihe ọ bụla gbasara ọdịnaya nke ngwugwu ahụ, ya mere enweghị ike ịmata ihe omume ziri ezi nke ndị omempụ. Mmemme mgbochi nje anaghị ejide malware mgbe niile, yabụ onye nchịkwa na-eche ọrụ nke ileba anya na ọrụ adịghị mma na ikewapụ ndị ọbịa nje n'oge.
Enwere ọtụtụ ngwaọrụ dị elu na-enye gị ohere ichekwa akụrụngwa IT nke ụlọ ọrụ. Taa, anyị ga-ekwu maka nchọpụta ntinye na usoro mgbochi isi mmalite mepere emepe nke enwere ike ịmejuputa na-azụtaghị ikike ngwaike na ngwanrọ dị oke ọnụ.
Nhazi IDS/IPS
IDS (Sistemụ Nchọpụta Intrusion) bụ usoro emebere iji debanye aha mmemme enyo na netwọkụ ma ọ bụ na kọmputa dị iche. Ọ na-edobe ndekọ mmemme ma gwa onye na-ahụ maka nchekwa ozi gbasara ha. IDS gụnyere ihe ndị a:
- sensọ maka ikiri okporo ụzọ netwọkụ, ndekọ dị iche iche, wdg.
- usoro nyocha nke na-achọpụta ihe ịrịba ama nke mmetụta na-emerụ ahụ na data natara;
- nchekwa maka nchịkọta ihe omume mbụ na nsonaazụ nyocha;
- njikwa njikwa.
Na mbido, a na-ekewa IDS site na ọnọdụ: ha nwere ike ilekwasị anya n'ichekwa ọnụ ọnụ onye ọ bụla (nke dabeere na ya ma ọ bụ Host Intrusion Detection System - HIDS) ma ọ bụ ichekwa netwọk ụlọ ọrụ dum (nke dabeere na netwọk ma ọ bụ Network Intrusion Detection System - NIDS). Ọ bara uru ịkọwa ihe a na-akpọ. APIDS (IDS dabere na ngwa ngwa): Ha na-enyocha obere usoro oyi akwa ngwa iji chọpụta mwakpo a kapịrị ọnụ na anaghị enyocha ngwugwu netwọkụ. Ngwaahịa ndị dị otú ahụ na-adịkarị ka proxies, a na-ejikwa ya echebe ụfọdụ ọrụ: sava weebụ na ngwa weebụ (dịka ọmụmaatụ, edere na PHP), sava nchekwa data, wdg. Onye nnọchi anya klaasị a bụ mod_security maka sava weebụ Apache.
Anyị nwere mmasị karịa NIDS zuru ụwa ọnụ nke na-akwado ọtụtụ usoro nkwukọrịta na teknụzụ nyocha ngwugwu DPI (Deep Packet Inspection). Ha na-enyocha okporo ụzọ niile na-agafe agafe, na-amalite site na oyi akwa njikọ data, ma chọpụta ọtụtụ mwakpo netwọkụ, yana ịnweta ozi na-enweghị ikike. Ọtụtụ mgbe, usoro ndị dị otú ahụ nwere ihe owuwu ekesa ma nwee ike iji ngwa netwọk dị iche iche na-arụ ọrụ na-emekọrịta ihe. Rịba ama na ọtụtụ NIDS ọgbara ọhụrụ bụ ngwakọ ma jikọta ọtụtụ ụzọ. Dabere na nhazi na ntọala, ha nwere ike dozie nsogbu dị iche iche - dịka ọmụmaatụ, ichebe otu ọnụ ma ọ bụ netwọk dum. Na mgbakwunye, ọrụ IDS maka ebe a na-arụ ọrụ weghaara ngwugwu mgbochi nje, nke, n'ihi mgbasa nke Trojans nke ezubere izu ohi ozi, tụgharịrị ghọọ firewalls multifunctional nke na-edozikwa ọrụ nke ịmata na igbochi okporo ụzọ enyo.
Na mbụ, IDS nwere ike ịchọpụta naanị ọrụ malware, ihe nyocha ọdụ ụgbọ mmiri, ma ọ bụ kwuo, mmebi nke onye ọrụ nke iwu nchekwa ụlọ ọrụ. Mgbe otu ihe omume mere, ha gwara onye nchịkwa ahụ, ma ọ bịara doo anya na nanị ịghọta ọgụ ahụ ezughị - ọ dị mkpa ka egbochi ya. Ya mere, IDS ghọrọ IPS (Intrusion Prevention Systems) - usoro mgbochi intrusion nke nwere ike imekọrịta na firewalls.
Ụzọ nchọpụta
Nchọpụta ntinye nke oge a na ngwọta mgbochi na-eji ụzọ dị iche iche chọpụta ọrụ ọjọọ, nke nwere ike kewaa ụzọ atọ. Nke a na-enye anyị nhọrọ ọzọ maka nhazi usoro:
- IDS/IPS dabere na mbinye aka na-achọ ụkpụrụ na okporo ụzọ ma ọ bụ nyochaa usoro mgbanwe steeti iji chọpụta ọgụ netwọkụ ma ọ bụ mbọ ọrịa. Ha anaghị enye mgbaghara na echiche ụgha, mana ha enweghị ike ịchọpụta egwu amaghi ama;
- IDS na-achọpụta anomaly anaghị eji mbinye aka mbuso agha. Ha na-amata omume na-adịghị mma nke sistemu ozi (gụnyere anomalies na okporo ụzọ netwọkụ) ma nwee ike ịchọpụta ọbụna ọgụ ndị amabeghị. Usoro ndị dị otú ahụ na-enye ọtụtụ ihe na-ezighị ezi ma, ọ bụrụ na ejiri ya mee ihe n'ụzọ na-ezighị ezi, na-eme ka arụ ọrụ nke netwọk mpaghara kwụsị;
- IDS dabere na iwu na-arụ ọrụ dị ka: ọ bụrụ FACT wee mee ihe. N'ezie, ndị a bụ usoro ndị ọkachamara na ntọala ihe ọmụma - usoro nke eziokwu na iwu nke ntinye. Ngwọta ndị dị otú ahụ na-ewe oge iji guzobe ma chọọ ka onye nchịkwa nwee nghọta zuru ezu banyere netwọk ahụ.
Akụkọ mmepe IDS
Oge mmepe ngwa ngwa nke ịntanetị na netwọkụ ụlọ ọrụ malitere na 90s nke narị afọ gara aga, Otú ọ dị, ndị ọkachamara nwere mgbagwoju anya site na teknụzụ nchekwa netwọk dị elu ntakịrị oge tupu. N'afọ 1986, Dorothy Denning na Peter Neumann bipụtara ụdị IDES (usoro ọkachamara nchọpụta intrusion), bụ nke ghọrọ ihe ndabere nke ọtụtụ usoro nchọpụta nke oge a. O jiri usoro ọkachamara chọpụta ọgụ ndị a ma ama, yana usoro ndekọ na profaịlụ onye ọrụ/usoro. IDES gbara ọsọ na ọdụ ọrụ Sun, na-enyocha okporo ụzọ netwọkụ yana data ngwa. N'afọ 1993, a tọhapụrụ NIDES (Sistemụ Ọkachamara Intrusion Intrusion Expert System) nke ọgbọ ọhụrụ - usoro ọkachamara nchọpụta intrusion ọgbọ ọhụrụ.
Dabere na ọrụ nke Denning na Neumann, usoro ọkachamara MIDAS (Nchọpụta intrusion Multi-intrusion and alerting system) pụtara na 1988, na-eji P-BEST na LISP. N'otu oge ahụ, e kere usoro Haystack dabere na usoro ọnụ ọgụgụ. Ihe nchọpụta ihe ndekọ ọnụ ọgụgụ ọzọ, W&S (Amamihe & Sense), ka emepụtara otu afọ ka e mesịrị na Los Alamos National Laboratory. Mmepe nke ụlọ ọrụ ahụ na-aga n'ihu na ngwa ngwa. Dịka ọmụmaatụ, na 1990, emejuputalarị nchọpụta anomaly n'ime sistemụ TIM (igwe inductive nke dabeere na oge) site na iji mmụta inductive na usoro onye ọrụ usoro (asụsụ LISP nkịtị). NSM (Nleba anya Nchekwa netwọkụ) tụlere matrices nnweta maka nchọpụta anomaly, yana ISOA (Onye enyemaka onye ọrụ nchekwa ozi) kwadoro atụmatụ nchọpụta dị iche iche: usoro ndekọ ọnụ ọgụgụ, ịlele profaịlụ na sistemụ ọkachamara. The ComputerWatch usoro e kere na AT & T Bell Labs ji ma usoro ndekọ ọnụ ọgụgụ na iwu maka nkwenye, na ndị mmepe nke University of California natara mbụ prototype nke a ekesa IDS laa azụ na 1991 - DIDS (Distributed intrusion detection system) bụkwa ọkachamara. usoro.
Na mbụ, IDS bụ ndị nwe ya, ma ugbua na 1998, National Laboratory. Lawrence na Berkeley weputara Bro (a kpọgharịrị aha ya Zeek na 2018), sistemụ mepere emepe nke na-eji asụsụ iwu nke ya maka ịtụgharị data libpcap. N'ọnwa Nọvemba nke otu afọ ahụ, sniffer APE na-eji libpcap pụtara, bụ nke otu ọnwa gachara ahagharịrị Snort, ma mesịa ghọọ IDS / IPS zuru oke. N'otu oge ahụ, ọtụtụ ihe ngwọta ndị nwe ụlọ malitere ịpụta.
Snort na Suricata
Ọtụtụ ụlọ ọrụ na-ahọrọ IDS/IPS n'efu na nke mepere emepe. Ruo ogologo oge, a na-ewere Snort nke a kpọtụrụ aha dị ka ngwọta ọkọlọtọ, ma ugbu a, usoro Suricata dochie ya. Tụlee uru na ọghọm ha na ntakịrị nkọwa. Snort na-ejikọta uru nke usoro mbinye aka yana nchọpụta ihe na-adịghị mma ozugbo. Suricata na-enyekwa ohere ụzọ ndị ọzọ ewezuga nchọpụta mbinye aka ọgụ. Emebere usoro a site na otu ndị mmepe ndị kewapụrụ na ọrụ Snort wee kwado atụmatụ IPS kemgbe ụdị 1.4, ebe mgbochi intrusion pụtara na Snort mechara.
Isi ihe dị iche n'etiti ngwaahịa abụọ a na-ewu ewu bụ ikike Suricata iji GPU maka mgbakọ IDS, yana IPS dị elu karị. Emebere usoro a maka ọtụtụ eriri, ebe Snort bụ ngwaahịa nwere otu eriri. N'ihi ogologo akụkọ ihe mere eme ya na koodu ihe nketa ya, ọ naghị eji ngwa ngwa multi-processor/multi-core, ebe Suricata nwere ike ijikwa okporo ụzọ ruo 10 Gbps na kọmpụta ebumnuche izugbe. Ị nwere ike ikwu maka myirịta na ọdịiche dị n'etiti usoro abụọ ahụ ogologo oge, ma ọ bụ ezie na engine Suricata na-arụ ọrụ ngwa ngwa, n'ihi na ọ bụghị nnukwu ọwa ọ dịghị mkpa.
Nhọrọ ntinye
Ekwesịrị itinye IPS n'ụzọ ga-eme ka sistemụ ahụ nwee ike nyochaa ngalaba netwọkụ n'okpuru njikwa ya. Ọtụtụ mgbe, nke a bụ kọmpụta a raara onwe ya nye, otu interface nke na-ejikọta mgbe ngwaọrụ ndị dị n'akụkụ ma "na-ele anya" site na ha na netwọk ọha na eze na-enweghị nchebe (Internet). A na-ejikọta interface IPS ọzọ na ntinye nke akụkụ ahụ echedoro ka okporo ụzọ niile na-agafe na usoro ma nyochaa ya. N'okwu ndị siri ike karị, enwere ike ịnwe ọtụtụ akụkụ echedoro: dịka ọmụmaatụ, na netwọk ụlọ ọrụ, a na-ekenyekarị mpaghara a na-emebi emebi (DMZ) na ọrụ ndị a na-enweta na Ịntanetị.
IPS dị otú ahụ nwere ike igbochi nyocha ọdụ ụgbọ mmiri ma ọ bụ mwakpo ike ọjọọ, nrigbu nke adịghị ike na nkesa ozi, sava weebụ ma ọ bụ script, yana ụdị mwakpo mpụga ndị ọzọ. Ọ bụrụ na kọmputa ndị dị na netwọk mpaghara bu nje malware, IDS agaghị ekwe ka ha kpọtụrụ sava botnet dị n'èzí. Nchedo siri ike nke netwọkụ dị n'ime ga-achọrịrị nhazi mgbagwoju anya nwere sistemu ekesa na igwe ọkụ ejirila ọnụ dị oke ọnụ nwere ike igosipụta okporo ụzọ maka interface IDS jikọtara na otu ọdụ ụgbọ mmiri.
Ọtụtụ mgbe netwọk ụlọọrụ na-edobe ọgụ na-ekesa denial-of-service (DDoS). Ọ bụ ezie na IDS ọgbara ọhụrụ nwere ike imeri ha, nhọrọ ntinye n'elu enweghị enyemaka dị ebe a. Usoro ahụ na-amata ọrụ ọjọọ ma na-egbochi okporo ụzọ na-adịghị mma, mana maka nke a, ngwugwu ndị ahụ ga-agafe na njikọ Ịntanetị dị na mpụga wee rute interface netwọk ya. Dabere na oke ọgụ ahụ, ọwa mgbasa ozi data nwere ike ọ gaghị enwe ike ịnagide ibu ahụ na ebumnuche nke ndị mwakpo ahụ ga-emezu. Maka ụdị ikpe a, anyị na-akwado ibuga IDS na sava mebere nke nwere njikọ ịntanetị amaara nke ọma. Ị nwere ike jikọọ VPS na netwọk mpaghara site na VPN, mgbe ahụ ị ga-achọ ịhazi nhazi nke okporo ụzọ mpụga site na ya. Mgbe ahụ, na ihe omume nke mwakpo DDoS, ị gaghị ebugharị ngwugwu site na njikọ nke onye na-eweta ya, a ga-egbochi ha na ndị ọbịa na-apụ apụ.
Nsogbu nke oke
O siri ike ịmata onye ndu n'etiti sistemu efu. Nhọrọ nke IDS / IPS kpebisiri ike site na netwọk topology, ọrụ nchebe dị mkpa, yana mmasị onwe onye nke onye nchịkwa na ọchịchọ ya ịbanye na ntọala. Snort nwere ogologo akụkọ ihe mere eme ma bụrụ nke a na-edepụta nke ọma, ọ bụ ezie na ozi na Suricata dịkwa mfe ịchọta n'ịntanetị. N'ọnọdụ ọ bụla, iji mara usoro ahụ, ị ga-eme mgbalị ụfọdụ, nke ga-emecha kwụọ ụgwọ - ngwaike azụmahịa na ngwa ngwa-software IDS / IPS dị oke ọnụ ma ọ bụghị mgbe niile dabara na mmefu ego. I kwesịghị ịkwa ụta oge ejiri, n'ihi na ezigbo onye nchịkwa na-eme ka iru eru ya dịkwuo mma mgbe ọ na-efu onye ọrụ. N'ọnọdụ a, onye ọ bụla na-emeri. N'isiokwu na-esonụ, anyị ga-eleba anya n'ụfọdụ nhọrọ maka ibuga Suricata ma jiri usoro ọgbara ọhụrụ tụnyere IDS/IPS Snort na-emekarị.
isi: www.habr.com