Un tempo bastavano un normale firewall e programmi antivirus per proteggere la rete locale, ma un tale insieme non è più sufficientemente efficace contro gli attacchi dei moderni hacker e il malware recentemente proliferato. Il buon vecchio firewall analizza solo le intestazioni dei pacchetti, passandole o bloccandole secondo un insieme di regole formali. Non sa nulla del contenuto dei pacchi e quindi non può riconoscere le azioni apparentemente legittime degli intrusi. I programmi antivirus non sempre rilevano il malware, quindi l'amministratore ha il compito di monitorare l'attività anomala e isolare gli host infetti in modo tempestivo.
Esistono molti strumenti avanzati che consentono di proteggere l'infrastruttura IT dell'azienda. Oggi parleremo di sistemi di rilevamento e prevenzione delle intrusioni open source che possono essere implementati senza acquistare costose licenze hardware e software.
Classificazione IDS/IPS
IDS (Intrusion Detection System) è un sistema progettato per registrare attività sospette su una rete o su un computer separato. Mantiene i registri degli eventi e ne informa la persona responsabile della sicurezza delle informazioni. L'IDS include i seguenti elementi:
- sensori per la visualizzazione del traffico di rete, log vari, ecc.
- un sottosistema di analisi che rileva segni di effetti dannosi nei dati ricevuti;
- archiviazione per l'accumulo di eventi primari e risultati di analisi;
- console di gestione.
Inizialmente, gli IDS erano classificati per posizione: potevano essere focalizzati sulla protezione dei singoli nodi (host-based o Host Intrusion Detection System - HIDS) o sulla protezione dell'intera rete aziendale (network-based o Network Intrusion Detection System - NIDS). Vale la pena menzionare il cosiddetto. APIDS (Application protocol-based IDS): monitorano un set limitato di protocolli a livello di applicazione per rilevare attacchi specifici e non analizzano in profondità i pacchetti di rete. Tali prodotti di solito assomigliano a proxy e vengono utilizzati per proteggere servizi specifici: server Web e applicazioni Web (ad esempio, scritti in PHP), server di database, ecc. Un tipico rappresentante di questa classe è mod_security per il web server Apache.
Siamo più interessati ai NIDS universali che supportano un'ampia gamma di protocolli di comunicazione e tecnologie di analisi dei pacchetti DPI (Deep Packet Inspection). Monitorano tutto il traffico in transito, a partire dal livello di collegamento dati, e rilevano un'ampia gamma di attacchi di rete, nonché l'accesso non autorizzato alle informazioni. Spesso tali sistemi hanno un'architettura distribuita e possono interagire con varie apparecchiature di rete attive. Si noti che molti NIDS moderni sono ibridi e combinano diversi approcci. A seconda della configurazione e delle impostazioni, possono risolvere vari problemi, ad esempio proteggere un nodo o l'intera rete. Inoltre, le funzioni IDS per le postazioni di lavoro sono state rilevate da pacchetti antivirus che, a causa della diffusione di trojan finalizzati al furto di informazioni, si sono trasformati in firewall multifunzionali che risolvono anche i compiti di riconoscimento e blocco del traffico sospetto.
Inizialmente, IDS poteva rilevare solo attività di malware, port scanner o, ad esempio, violazioni delle policy di sicurezza aziendale da parte degli utenti. Quando si è verificato un determinato evento, hanno informato l'amministratore, ma è diventato subito chiaro che il semplice riconoscimento dell'attacco non era sufficiente: doveva essere bloccato. Quindi gli IDS si sono trasformati in IPS (Intrusion Prevention Systems) - sistemi di prevenzione delle intrusioni che possono interagire con i firewall.
Metodi di rilevamento
Le moderne soluzioni di rilevamento e prevenzione delle intrusioni utilizzano vari metodi per rilevare attività dannose, che possono essere suddivise in tre categorie. Questo ci offre un'altra opzione per classificare i sistemi:
- IDS/IPS basati su firme cercano modelli nel traffico o monitorano i cambiamenti di stato del sistema per rilevare un attacco di rete o un tentativo di infezione. Praticamente non danno mancate accensioni e falsi positivi, ma non sono in grado di identificare minacce sconosciute;
- Gli IDS che rilevano anomalie non utilizzano firme di attacco. Riconoscono il comportamento anomalo dei sistemi informativi (comprese le anomalie nel traffico di rete) e possono rilevare anche attacchi sconosciuti. Tali sistemi danno molti falsi positivi e, se usati in modo errato, paralizzano il funzionamento della rete locale;
- Gli IDS basati su regole funzionano come: se FATTO allora AZIONE. In realtà, si tratta di sistemi esperti con basi di conoscenza: un insieme di fatti e regole di inferenza. Tali soluzioni richiedono molto tempo per essere configurate e richiedono all'amministratore di avere una conoscenza dettagliata della rete.
Storia dello sviluppo dell'IDS
L'era del rapido sviluppo di Internet e delle reti aziendali è iniziata negli anni '90 del secolo scorso, tuttavia, gli esperti sono rimasti perplessi dalle tecnologie avanzate di sicurezza della rete poco prima. Nel 1986, Dorothy Denning e Peter Neumann pubblicarono il modello IDES (Intrusion detection expert system), che divenne la base dei più moderni sistemi di rilevamento delle intrusioni. Ha utilizzato un sistema esperto per identificare gli attacchi noti, nonché metodi statistici e profili utente/di sistema. IDES è stato eseguito su workstation Sun, controllando il traffico di rete ei dati delle applicazioni. Nel 1993 è stato rilasciato NIDES (Next-generation Intrusion Detection Expert System), un sistema esperto di rilevamento delle intrusioni di nuova generazione.
Basato sul lavoro di Denning e Neumann, il sistema esperto MIDAS (Multics intrusion detection and alerting system) è apparso nel 1988, utilizzando P-BEST e LISP. Allo stesso tempo, è stato creato il sistema Haystack basato su metodi statistici. Un altro rilevatore di anomalie statistiche, W&S (Wisdom & Sense), è stato sviluppato un anno dopo presso il Los Alamos National Laboratory. Lo sviluppo del settore procedeva a un ritmo rapido. Ad esempio, nel 1990, il rilevamento delle anomalie era già implementato nel sistema TIM (Time-based inductive machine) utilizzando l'apprendimento induttivo su modelli utente sequenziali (linguaggio Common LISP). NSM (Network Security Monitor) ha confrontato le matrici di accesso per il rilevamento delle anomalie e ISOA (Information Security Officer's Assistant) ha supportato varie strategie di rilevamento: metodi statistici, controllo del profilo e sistema esperto. Il sistema ComputerWatch creato presso AT & T Bell Labs utilizzava sia metodi statistici che regole per la verifica e gli sviluppatori dell'Università della California hanno ricevuto il primo prototipo di un IDS distribuito nel 1991: anche DIDS (Distributed intrusion detection system) era un esperto sistema.
All'inizio gli IDS erano proprietari, ma già nel 1998 il National Laboratory. Lawrence a Berkeley ha rilasciato Bro (ribattezzato Zeek nel 2018), un sistema open source che utilizza il proprio linguaggio di regole per l'analisi dei dati libpcap. Nel novembre dello stesso anno apparve lo sniffer di pacchetti APE che utilizzava libpcap, che un mese dopo fu ribattezzato Snort, e in seguito divenne un vero e proprio IDS / IPS. Allo stesso tempo, iniziarono ad apparire numerose soluzioni proprietarie.
Sbuffo e Suricata
Molte aziende preferiscono IDS/IPS gratuiti e open source. Per molto tempo il già citato Snort è stato considerato la soluzione standard, ma ora è stato sostituito dal sistema Suricata. Considera i loro vantaggi e svantaggi in modo un po 'più dettagliato. Snort combina i vantaggi di un metodo di firma con il rilevamento delle anomalie in tempo reale. Suricata consente anche altri metodi oltre al rilevamento della firma dell'attacco. Il sistema è stato creato da un gruppo di sviluppatori che si è separato dal progetto Snort e supporta le funzionalità IPS dalla versione 1.4, mentre la prevenzione delle intrusioni è apparsa successivamente in Snort.
La principale differenza tra i due popolari prodotti è la capacità di Suricata di utilizzare la GPU per il calcolo IDS, così come l'IPS più avanzato. Il sistema è stato originariamente progettato per il multi-threading, mentre Snort è un prodotto a thread singolo. A causa della sua lunga storia e del codice legacy, non fa un uso ottimale delle piattaforme hardware multi-processore/multi-core, mentre Suricata può gestire il traffico fino a 10 Gbps su normali computer generici. Puoi parlare a lungo delle somiglianze e delle differenze tra i due sistemi, ma sebbene il motore Suricata funzioni più velocemente, per canali non troppo ampi non importa.
Opzioni di distribuzione
L'IPS deve essere posizionato in modo tale che il sistema possa monitorare i segmenti di rete sotto il suo controllo. Molto spesso, si tratta di un computer dedicato, un'interfaccia della quale si collega dopo i dispositivi perimetrali e "guarda" attraverso di essi a reti pubbliche non protette (Internet). Un'altra interfaccia IPS è collegata all'ingresso del segmento protetto in modo che tutto il traffico passi attraverso il sistema e venga analizzato. In casi più complessi, possono esserci più segmenti protetti: ad esempio, nelle reti aziendali, è spesso allocata una zona demilitarizzata (DMZ) con servizi accessibili da Internet.
Un tale IPS può impedire la scansione delle porte o gli attacchi di forza bruta, lo sfruttamento delle vulnerabilità nel server di posta, nel server Web o negli script, nonché altri tipi di attacchi esterni. Se i computer sulla rete locale sono infettati da malware, IDS non consentirà loro di contattare i server botnet situati all'esterno. Una protezione più seria della rete interna richiederà molto probabilmente una configurazione complessa con un sistema distribuito e costosi switch gestiti in grado di eseguire il mirroring del traffico per un'interfaccia IDS collegata a una delle porte.
Spesso le reti aziendali sono soggette ad attacchi DDoS (Distributed Denial of Service). Sebbene i moderni IDS possano gestirli, l'opzione di distribuzione sopra è di scarso aiuto qui. Il sistema riconosce l'attività dannosa e blocca il traffico spurio, ma per questo i pacchetti devono passare attraverso una connessione Internet esterna e raggiungere la sua interfaccia di rete. A seconda dell'intensità dell'attacco, il canale di trasmissione dati potrebbe non essere in grado di far fronte al carico e l'obiettivo degli aggressori verrà raggiunto. In tali casi, si consiglia di distribuire IDS su un server virtuale con una connessione Internet migliore nota. Puoi connettere il VPS alla rete locale tramite una VPN, quindi dovrai configurare l'instradamento di tutto il traffico esterno attraverso di essa. Quindi, in caso di attacco DDoS, non dovrai guidare i pacchetti attraverso la connessione al provider, verranno bloccati sull'host esterno.
Problema di scelta
È molto difficile identificare un leader tra i sistemi liberi. La scelta di IDS / IPS è determinata dalla topologia di rete, dalle funzioni di protezione necessarie, nonché dalle preferenze personali dell'amministratore e dal suo desiderio di giocherellare con le impostazioni. Snort ha una storia più lunga ed è meglio documentato, anche se le informazioni su Suricata sono facili da trovare anche online. In ogni caso, per padroneggiare il sistema, dovrai compiere alcuni sforzi, che alla fine ripagheranno: l'hardware commerciale e l'IDS / IPS hardware-software sono piuttosto costosi e non sempre rientrano nel budget. Non dovresti rimpiangere il tempo speso, perché un buon amministratore migliora sempre le sue qualifiche a spese del datore di lavoro. In questa situazione, tutti vincono. Nel prossimo articolo, esamineremo alcune opzioni per l'implementazione di Suricata e confronteremo nella pratica il sistema più moderno con il classico IDS/IPS Snort.
Fonte: habr.com