Einu sinni var venjulegur eldveggur og vírusvarnarforrit nóg til að vernda staðarnet, en slíkt sett er ekki lengur nógu áhrifaríkt gegn árásum nútíma tölvuþrjóta og spilliforritinu sem hefur fjölgað undanfarið. Gamall góður eldveggur greinir aðeins pakkahausa, leyfir eða lokar þá samkvæmt settum formlegum reglum. Það veit ekkert um innihald pakkana og getur því ekki viðurkennt lögmætar aðgerðir árásarmanna. Vírusvarnarforrit grípa ekki alltaf spilliforrit, þannig að stjórnandinn stendur frammi fyrir því verkefni að fylgjast með óeðlilegri virkni og tímanlega einangra sýkta véla.
Það eru mörg háþróuð verkfæri í boði til að vernda upplýsingatækniinnviði fyrirtækis. Í dag munum við tala um opinn uppspretta innbrotsskynjunar- og varnarkerfi, sem hægt er að útfæra án þess að kaupa dýran búnað og hugbúnaðarleyfi.
IDS/IPS flokkun
IDS (Intrusion Detection System) er kerfi sem er hannað til að skrá grunsamlega starfsemi á neti eða á einstaka tölvu. Það heldur atburðaskrám og tilkynnir starfsmanni sem ber ábyrgð á upplýsingaöryggi um þær. Hægt er að greina eftirfarandi þætti sem hluta af IDS:
- skynjarar til að skoða netumferð, ýmsa loga o.fl.
- greiningar undirkerfi sem greinir merki um skaðleg áhrif í mótteknum gögnum;
- geymsla fyrir uppsöfnun frumatburða og greiningarniðurstöður;
- stjórnborð.
Upphaflega voru IDS flokkaðar eftir staðsetningu: þeir gætu einbeitt sér að því að vernda einstaka hnúta (host-based eða Host Intrusion Detection System - HIDS) eða vernda allt fyrirtækjanetið (netbundið eða Network Intrusion Detection System - NIDS). Vert er að nefna svokallaða APIDS (Application Protocol-based IDS): Þeir fylgjast með takmörkuðu setti af samskiptareglum á forritastigi til að bera kennsl á sérstakar árásir og gera ekki djúpa greiningu á netpökkum. Slíkar vörur líkjast venjulega umboðum og eru notaðar til að vernda sérstaka þjónustu: vefþjón og vefforrit (til dæmis skrifuð í PHP), gagnagrunnsþjón o.s.frv. Dæmigerð dæmi um þennan flokk er mod_security fyrir Apache vefþjóninn.
Við höfum meiri áhuga á alhliða NIDS sem styðja margs konar samskiptareglur og DPI (Deep Packet Inspection) tækni. Þeir fylgjast með allri umferð, sem byrjar á gagnatengingarlaginu, og greina margs konar netárásir, sem og tilraunir til óviðkomandi aðgangs að upplýsingum. Oft hafa slík kerfi dreifðan arkitektúr og geta haft samskipti við ýmsan virkan netbúnað. Athugaðu að mörg nútíma NIDS eru blendingur og sameina nokkrar aðferðir. Það fer eftir uppsetningu og stillingum, þeir geta leyst ýmis vandamál - til dæmis að vernda einn hnút eða allt netið. Að auki voru virkni IDS fyrir vinnustöðvar yfirtekin af vírusvarnarpökkum, sem, vegna útbreiðslu Trójuhesta sem miðuðu að því að stela upplýsingum, breyttust í fjölnota eldveggi sem leysa einnig vandamálin við að þekkja og loka fyrir grunsamlega umferð.
Upphaflega gat IDS aðeins greint spilliforrit, hafnaskanna eða, segjum, brot notenda á öryggisreglum fyrirtækja. Þegar ákveðinn atburður átti sér stað létu þeir stjórnanda vita, en það varð fljótt ljóst að það var ekki nóg að viðurkenna árásina - það þurfti að loka henni. Þannig að IDS var breytt í IPS (Intrusion Prevention Systems) - innbrotsvarnakerfi sem geta haft samskipti við eldveggi.
Uppgötvunaraðferðir
Nútímauppgötvunar- og forvarnarlausnir nota margvíslegar aðferðir til að bera kennsl á illgjarn virkni, sem má skipta í þrjá flokka. Þetta gefur okkur annan möguleika til að flokka kerfi:
- IDS/IPS sem byggir á undirskrift greinir mynstur í umferð eða fylgist með breytingum á stöðu kerfa til að ákvarða netárás eða smittilraun. Þeir gefa nánast ekki ranghugmyndir og rangar jákvæðar, en geta ekki greint óþekktar ógnir;
- IDS sem greinir frávik nota ekki árásarundirskriftir. Þeir þekkja óeðlilega hegðun upplýsingakerfa (þar á meðal frávik í netumferð) og geta jafnvel greint óþekktar árásir. Slík kerfi gefa töluvert af fölskum jákvæðum vísbendingum og, ef þau eru notuð rangt, lama þau rekstur staðarnetsins;
- Reglubundið IDS vinnur á meginreglunni: ef STAÐREYND þá AÐGERÐIR. Í meginatriðum eru þetta sérfræðikerfi með þekkingargrunn - safn staðreynda og reglna um rökræna ályktun. Slíkar lausnir eru vinnufrekar að setja upp og krefjast þess að stjórnandinn hafi nákvæman skilning á netinu.
Saga um þróun IDS
Tímabil örrar þróunar internetsins og fyrirtækjakerfa hófst á tíunda áratug síðustu aldar, en sérfræðingar voru gáttaðir á háþróaðri netöryggistækni aðeins fyrr. Árið 90 gáfu Dorothy Denning og Peter Neumann út IDES (Intrusion detection expert system) líkanið, sem varð grundvöllur flestra nútíma innbrotsskynjunarkerfa. Það notaði sérfræðikerfi til að bera kennsl á þekktar árásargerðir, svo og tölfræðilegar aðferðir og notenda-/kerfissnið. IDES keyrði á Sun vinnustöðvum og skoðaði netumferð og forritagögn. Árið 1986 kom NIDES (Next-generation Intrusion Detection Expert System) út - ný kynslóð sérfræðikerfis fyrir innbrotsskynjun.
Byggt á verkum Denning og Neumann kom MIDAS (Multics intrusion detection and alerting system) sérfræðikerfið sem notar P-BEST og LISP fram árið 1988. Á sama tíma var búið til Haystack kerfið sem byggir á tölfræðilegum aðferðum. Annar tölfræðilegur fráviksskynjari, W&S (Wisdom & Sense), var þróaður ári síðar á Los Alamos National Laboratory. Iðnaðurinn þróaðist hratt. Til dæmis, árið 1990, innleiddi TIM (Time-based inductive machine) kerfið þegar fráviksgreiningu með því að nota inductive learning á raðbundnu notendamynstri (Common LISP language). NSM (Network Security Monitor) bar saman aðgangsfylki til að greina frávik og ISOA (Aðstoðarmaður upplýsingaöryggisfulltrúa) studdi ýmsar uppgötvunaraðferðir: tölfræðilegar aðferðir, prófílathugun og sérfræðikerfi. ComputerWatch kerfið sem búið var til hjá AT&T Bell Labs notaði tölfræðilegar aðferðir og reglur til sannprófunar, og þróunaraðilar háskólans í Kaliforníu fengu fyrstu frumgerð af dreifðu IDS aftur árið 1991 - DIDS (Distributed Intrusion Detection System) var einnig sérfræðikerfi.
Í fyrstu var IDS séreign, en þegar árið 1998, National Laboratory. Lawrence Berkeley gaf út Bro (endurnefnt Zeek árið 2018), opið uppspretta kerfi sem notar sér reglumál til að greina libpcap gögn. Í nóvember sama ár birtist APE pakkasnifjarinn sem notar libpcap, sem mánuði síðar fékk nafnið Snort og varð síðar fullgildur IDS/IPS. Á sama tíma fóru að birtast fjölmargar sérlausnir.
Snort og Suricata
Mörg fyrirtæki kjósa ókeypis og opinn uppspretta IDS/IPS. Lengi vel var áðurnefnd Snort talin staðallausnin, en nú hefur Suricata-kerfinu verið skipt út fyrir það. Við skulum skoða kosti þeirra og galla aðeins nánar. Snort sameinar kosti aðferðar sem byggir á undirskriftum og getu til að greina frávik í rauntíma. Suricata gerir þér einnig kleift að nota aðrar aðferðir fyrir utan að þekkja árásir með undirskrift. Kerfið var búið til af hópi þróunaraðila aðskilinn frá Snort verkefninu og styður IPS aðgerðir frá útgáfu 1.4 og Snort kynnti möguleikann til að koma í veg fyrir afskipti síðar.
Helsti munurinn á þessum tveimur vinsælu vörum er hæfni Suricata til að nota GPU-tölvu í IDS-stillingu, sem og fullkomnari IPS. Kerfið er upphaflega hannað fyrir fjölþráða en Snort er einþráða vara. Vegna langrar sögu sinnar og eldri kóða, nýtir það ekki fjölgjörva/fjölkjarna vélbúnaðarpalla sem best, en Suricata getur séð um umferð allt að 10 Gbps á venjulegum almennum tölvum. Við getum talað í langan tíma um líkindi og mun á kerfunum tveimur, en þó að Suricata vélin virki hraðar, fyrir ekki of breiðar rásir er þetta ekki grundvallaratriði.
Uppsetningarvalkostir
IPS verður að vera þannig komið fyrir að kerfið geti fylgst með nethlutunum sem það hefur stjórn á. Oftast er þetta sérstök tölva, þar sem eitt viðmót er tengt á eftir jaðartækjunum og „lítur“ í gegnum þau inn í óvarið almenningsnet (netið). Annað IPS tengi er tengt við inntak verndaðs hluta þannig að öll umferð fer í gegnum kerfið og er greind. Í flóknari tilfellum geta verið nokkrir verndaðir hlutar: til dæmis, í fyrirtækjanetum er oft úthlutað afvopnuðu svæði (DMZ) með þjónustu sem er aðgengileg af internetinu.
Slíkt IPS getur komið í veg fyrir gáttaskönnun eða árásir á lykilorð, misnotkun á veikleikum á póstþjóni, vefþjóni eða forskriftum, auk annars konar utanaðkomandi árása. Ef tölvur á staðarnetinu eru sýktar af spilliforritum mun IDS ekki leyfa þeim að hafa samband við botnetþjóna sem staðsettir eru fyrir utan. Til að vernda innra netið alvarlegri, verður líklega þörf á flókinni uppsetningu með dreifðu kerfi og dýrum stýrðum rofum sem geta spegla umferð fyrir IDS viðmótið sem er tengt við eina af höfnunum.
Fyrirtækjanet eru oft háð dreifðri afneitun á þjónustu (DDoS) árásum. Þrátt fyrir að nútíma IDS geti tekist á við þá er ólíklegt að ofangreindur dreifingarvalkostur hjálpi hér. Kerfið mun þekkja illgjarna virkni og loka fyrir falska umferð, en til þess verða pakkarnir að fara í gegnum ytri nettengingu og ná netviðmóti þess. Það fer eftir styrkleika árásarinnar, að gagnaflutningsrásin gæti ekki tekist á við álagið og markmið árásarmannanna verður náð. Í slíkum tilvikum mælum við með því að nota IDS á sýndarmiðlara með augljóslega öflugri internettengingu. Þú getur tengt VPS við staðarnetið í gegnum VPN og þá þarftu að stilla leið á allri utanaðkomandi umferð í gegnum það. Síðan, ef um DDoS árás er að ræða, þarftu ekki að senda pakka í gegnum tenginguna til þjónustuveitunnar; þeir verða lokaðir á ytri hnútnum.
Vandamál af vali
Það er mjög erfitt að bera kennsl á leiðtoga meðal ókeypis kerfa. Val á IDS/IPS ræðst af staðfræði netkerfisins, nauðsynlegum öryggisaðgerðum, svo og persónulegum óskum stjórnandans og löngun hans til að fikta við stillingarnar. Snort á sér lengri sögu og er betur skjalfest, þó að auðvelt sé að finna upplýsingar um Suricata á netinu. Í öllum tilvikum, til að ná góðum tökum á kerfinu, verður þú að gera nokkrar tilraunir, sem mun að lokum borga sig - viðskiptalegur vélbúnaður og vélbúnaður-hugbúnaður IDS/IPS eru ansi dýrir og passa ekki alltaf inn í fjárhagsáætlunina. Það þýðir ekkert að sjá eftir tímasóun því góður stjórnandi bætir alltaf færni sína á kostnað vinnuveitandans. Í þessari stöðu vinna allir. Í næstu grein munum við skoða nokkra Suricata dreifingarvalkosti og bera saman nútímalegra kerfi við klassíska IDS/IPS Snort í reynd.
Heimild: www.habr.com