スノートまたはスリカタ。 パート 1: 企業ネットワークを保護するために無料の IDS/IPS を選択する

かつては、ローカル ネットワークを保護するには通常のファイアウォールとウイルス対策プログラムで十分でしたが、そのようなセットは、現代のハッカーの攻撃や最近急増しているマルウェアに対しては十分に効果がありません。 古き良きファイアウォールはパケット ヘッダーのみを分析し、一連の正式なルールに従ってパケットを通過またはブロックします。 パッケージの内容については何も知らないため、侵入者の表面的には正当な行為を認識できません。 ウイルス対策プログラムが常にマルウェアを検出するとは限らないため、管理者は異常なアクティビティを監視し、感染したホストを適時に隔離するというタスクに直面しています。

会社の IT インフラストラクチャを保護できる高度なツールが多数あります。 今日は、高価なハードウェアやソフトウェアのライセンスを購入せずに実装できるオープンソースの侵入検知および防御システムについて説明します。

IDS/IPSの分類

IDS (侵入検知システム) は、ネットワークまたは別のコンピュータ上で不審なアクティビティを登録するように設計されたシステムです。 イベントログを保持し、情報セキュリティ責任者に通知します。 IDS には次の要素が含まれます。

• ネットワークトラフィックや各種ログなどを閲覧するためのセンサー。 
• 受信したデータから有害な影響の兆候を検出する分析サブシステム。
• 一次イベントと分析結果を蓄積するためのストレージ。
• 管理コンソール。

当初、IDS は場所によって分類されていました。IDS は、個々のノードの保護 (ホスト ベースまたはホスト侵入検知システム - HIDS) または企業ネットワーク全体の保護 (ネットワーク ベースまたはネットワーク侵入検知システム - NIDS) に重点を置くことができました。 いわゆるものに言及する価値があります。 APIDS (アプリケーション プロトコル ベースの IDS): 限られたアプリケーション層プロトコル セットを監視して特定の攻撃を検出し、ネットワーク パケットを詳細に分析することはありません。 このような製品は通常プロキシに似ており、Web サーバーや Web アプリケーション (PHP で記述されたものなど)、データベース サーバーなどの特定のサービスを保護するために使用されます。 このクラスの代表的なものは、Apache Web サーバーの mod_security です。

私たちは、幅広い通信プロトコルと DPI (ディープ パケット インスペクション) パケット分析テクノロジをサポートするユニバーサル NIDS にさらに興味を持っています。 データリンク層から始めて、通過するすべてのトラフィックを監視し、幅広いネットワーク攻撃や情報への不正アクセスを検出します。 多くの場合、このようなシステムは分散アーキテクチャを備えており、さまざまなアクティブなネットワーク機器と対話できます。 最新の NIDS の多くはハイブリッドであり、いくつかのアプローチを組み合わせていることに注意してください。 構成と設定に応じて、たとえば XNUMX つのノードまたはネットワーク全体を保護するなど、さまざまな問題を解決できます。 さらに、ワークステーションの IDS 機能はウイルス対策パッケージに引き継がれましたが、情報窃盗を目的としたトロイの木馬の蔓延により、不審なトラフィックを認識してブロックするタスクも解決する多機能ファイアウォールに変わりました。

当初、IDS はマルウェア活動、ポート スキャナー、あるいは企業セキュリティ ポリシーに対するユーザー違反などを検出することしかできませんでした。 特定のイベントが発生すると、管理者に通知しましたが、攻撃を認識するだけでは十分ではなく、ブロックする必要があることがすぐに明らかになりました。 そこで IDS は、ファイアウォールと対話できる侵入防御システムである IPS (侵入防御システム) に変わりました。

検出方法

最新の侵入検出および防御ソリューションは、さまざまな方法を使用して悪意のあるアクティビティを検出します。そのアクティビティは XNUMX つのカテゴリに分類できます。 これにより、システムを分類するための別のオプションが提供されます。

• シグネチャベースの IDS/IPS は、トラフィックのパターンを検索したり、システム状態の変化を監視したりして、ネットワーク攻撃や感染の試みを検出します。 実際には誤爆や誤検知は発生しませんが、未知の脅威を検出することはできません。
• 異常検出 IDS は攻撃シグネチャを使用しません。 情報システムの異常な動作 (ネットワーク トラフィックの異常を含む) を認識し、未知の攻撃も検出できます。 このようなシステムは非常に多くの誤検知を引き起こし、誤って使用するとローカル ネットワークの動作を麻痺させます。
• ルールベースの IDS は、FACT の場合は ACTION のように機能します。 実際、これらは知識ベース、つまり一連の事実と推論ルールを備えたエキスパート システムです。 このようなソリューションはセットアップに時間がかかり、管理者はネットワークを詳細に理解する必要があります。 

IDS開発の歴史

インターネットと企業ネットワークの急速な発展の時代は前世紀の 90 年代に始まりましたが、専門家はその少し前から高度なネットワーク セキュリティ テクノロジに困惑していました。 1986 年、ドロシー デニングとピーター ニューマンは、最新の侵入検知システムの基礎となった IDES (侵入検知エキスパート システム) モデルを発表しました。 彼女はエキスパート システムを使用して既知の攻撃、統計的手法、ユーザー/システム プロファイルを特定しました。 IDES は Sun ワークステーション上で実行され、ネットワーク トラフィックとアプリケーション データをチェックしました。 1993 年に、新世代の侵入検知エキスパート システムである NIDES (次世代侵入検知エキスパート システム) がリリースされました。

Denning と Neumann の研究に基づいて、P-BEST と LISP を使用した MIDAS (Multics 侵入検知および警告システム) エキスパート システムが 1988 年に登場しました。 同時に、統計的手法に基づいたヘイスタック システムが作成されました。 別の統計的異常検出器である W&S (Wisdom & Sense) は、1990 年後にロス アラモス国立研究所で開発されました。 産業の発展は急速に進みました。 たとえば、1991 年には、異常検出は、逐次ユーザー パターン (Common LISP 言語) の帰納学習を使用した TIM (Time-based inductive machine) システムにすでに実装されていました。 NSM (ネットワーク セキュリティ モニター) は異常検出のためのアクセス マトリックスを比較し、ISOA (情報セキュリティ責任者補佐) は統計的手法、プロファイル チェック、エキスパート システムなどのさまざまな検出戦略をサポートしました。 AT & T ベル研究所で作成された ComputerWatch システムは、検証に統計的手法とルールの両方を使用しました。カリフォルニア大学の開発者は、XNUMX 年に分散型 IDS の最初のプロトタイプを受け取りました。DIDS (分散型侵入検知システム) の専門家でもありました。システム。

当初、IDS は独自のものでしたが、1998 年にはすでに国立研究所が所有していました。 バークレー校のローレンス氏は、libpcap データの解析に独自のルール言語を使用するオープンソース システムである Bro (2018 年に Zeek に名前変更) をリリースしました。 同年 XNUMX 月には、libpcap を使用した APE パケット スニファーが登場し、XNUMX か月後には Snort と名前が変更され、後に本格的な IDS / IPS となりました。 同時に、多数の独自のソリューションが登場し始めました。

スノーストとスリカタ

多くの企業は、無料のオープンソース IDS/IPS を好みます。 長い間、前述の Snort が標準ソリューションと考えられていましたが、現在では Suricata システムに取って代わられています。 それらの長所と短所をもう少し詳しく考えてみましょう。 Snort は、署名方法の利点とリアルタイムの異常検出を組み合わせています。 Suricata では、攻撃シグネチャの検出以外の方法も使用できます。 このシステムは、Snort プロジェクトから分離した開発者のグループによって作成され、バージョン 1.4 から IPS 機能をサポートしていますが、侵入防御は後に Snort に登場しました。

10 つの人気のある製品の主な違いは、Suricata が IDS コンピューティングに GPU を使用できることと、より高度な IPS を使用できることです。 Snort はシングルスレッド製品であるのに対し、システムは元々マルチスレッド用に設計されました。 Suricata は長い歴史とレガシー コードのため、マルチプロセッサ/マルチコア ハードウェア プラットフォームを最適に活用していませんが、通常の汎用コンピュータでは最大 XNUMX Gbps のトラフィックを処理できます。 XNUMX つのシステムの類似点と相違点については長く話すことができますが、Suricata エンジンの方が高速に動作しますが、チャネルが広すぎない場合は問題になりません。

導入オプション

IPS は、システムがその制御下にあるネットワーク セグメントを監視できるように配置する必要があります。 ほとんどの場合、これは専用のコンピュータであり、その XNUMX つのインターフェイスはエッジ デバイスの後に接続し、それらを介してセキュリティで保護されていないパブリック ネットワーク (インターネット) を「監視」します。 別の IPS インターフェイスが保護セグメントの入力に接続されているため、すべてのトラフィックがシステムを通過して分析されます。 より複雑なケースでは、保護されたセグメントが複数存在する場合があります。たとえば、企業ネットワークでは、多くの場合、インターネットからアクセスできるサービスに非武装地帯 (DMZ) が割り当てられます。

このような IPS は、ポート スキャンやブルート フォース攻撃、メール サーバー、Web サーバー、またはスクリプトの脆弱性の悪用、その他の種類の外部攻撃を防ぐことができます。 ローカル ネットワーク上のコンピュータがマルウェアに感染している場合、IDS はそのコンピュータが外部にあるボットネット サーバーに接続することを許可しません。 内部ネットワークをより本格的に保護するには、分散システムと、ポートの XNUMX つに接続された IDS インターフェイスのトラフィックをミラーリングできる高価なマネージド スイッチを使用した複雑な構成が必要になる可能性があります。

多くの場合、企業ネットワークは分散型サービス拒否 (DDoS) 攻撃の対象になります。 最新の IDS はそれらに対処できますが、上記の展開オプションはここではほとんど役に立ちません。 システムは悪意のあるアクティビティを認識し、偽のトラフィックをブロックしますが、そのためにはパケットが外部のインターネット接続を通過してネットワーク インターフェイスに到達する必要があります。 攻撃の強度によっては、データ伝送チャネルが負荷に対応できなくなり、攻撃者の目的が達成されてしまう可能性があります。 このような場合、より良好なインターネット接続が知られている仮想サーバーに IDS を展開することをお勧めします。 VPN を介して VPS をローカル ネットワークに接続できます。その後、VPN を経由するすべての外部トラフィックのルーティングを構成する必要があります。 そうすれば、DDoS 攻撃が発生した場合でも、プロバイダーへの接続を介してパケットを送信する必要がなく、パケットは外部ホストでブロックされます。

選択の問題

無料システムの中でリーダーを特定するのは非常に困難です。 IDS / IPS の選択は、ネットワーク トポロジ、必要な保護機能、管理者の個人的な好みと設定を変更したいという要望によって決まります。 Snort には長い歴史があり、ドキュメントも充実していますが、Suricata に関する情報もオンラインで簡単に見つけることができます。 いずれにせよ、システムを使いこなすには、ある程度の努力が必要ですが、それは最終的には報われます。市販のハードウェアおよびハードウェア/ソフトウェア IDS/IPS は非常に高価であり、必ずしも予算内に収まるとは限りません。 優れた管理者は常に雇用主を犠牲にして自分の資格を向上させるので、費やした時間を後悔すべきではありません。 この状況では全員が勝ちます。 次の記事では、Suricata を導入するためのいくつかのオプションを検討し、より最新のシステムと従来の IDS/IPS Snort を実際に比較します。

出所： habr.com