ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

Biyen, program firewall lan anti-virus biasa cukup kanggo nglindhungi jaringan lokal, nanging set kasebut ora cukup efektif nglawan serangan peretas modern lan malware sing bubar berkembang. Firewall lawas sing apik mung nganalisa header paket, ngidini utawa ngalangi miturut aturan resmi. Ora ngerti apa-apa bab isi paket, lan mulane ora bisa ngenali tumindak ketoke sah saka panyerang. Program antivirus ora tansah nyekel malware, mula administrator ngadhepi tugas ngawasi aktivitas sing ora normal lan ngisolasi host sing kena infeksi.

Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

Ana akeh alat canggih sing kasedhiya kanggo nglindhungi infrastruktur IT perusahaan. Dina iki kita bakal ngomong babagan sistem deteksi lan pencegahan intrusi sumber terbuka, sing bisa ditindakake tanpa tuku peralatan lan lisensi piranti lunak sing larang.

Klasifikasi IDS/IPS

IDS (Intrusion Detection System) minangka sistem sing dirancang kanggo ndhaptar aktivitas sing curiga ing jaringan utawa ing komputer individu. Iku nyimpen log acara lan ngabari karyawan sing tanggung jawab kanggo keamanan informasi babagan kasebut. Unsur ing ngisor iki bisa dibedakake minangka bagΓ©an saka IDS:

  • sensor kanggo ndeleng lalu lintas jaringan, macem-macem log, etc. 
  • subsistem analisis sing ngenali pratandha pengaruh ala ing data sing ditampa;
  • panyimpenan kanggo akumulasi acara utama lan asil analisis;
  • konsol manajemen.

Kaping pisanan, IDS diklasifikasikake miturut lokasi: bisa fokus kanggo nglindhungi node individu (host-based utawa Host Intrusion Detection System - HIDS) utawa nglindhungi kabeh jaringan perusahaan (basis jaringan utawa Network Intrusion Detection System - NIDS). Iku worth nyebutke sing disebut APIDS (Aplikasi protokol basis IDS): Padha ngawasi pesawat winates saka protokol tingkat aplikasi kanggo ngenali serangan tartamtu lan ora nindakake analisis jero saka paket jaringan. Produk kasebut biasane meh padha karo proxy lan digunakake kanggo nglindhungi layanan tartamtu: server web lan aplikasi web (contone, ditulis ing PHP), server database, lsp. Conto khas kelas iki yaiku mod_security kanggo server web Apache.

Kita luwih kasengsem ing NIDS universal sing ndhukung macem-macem protokol komunikasi lan teknologi DPI (Deep Packet Inspection). Padha ngawasi kabeh lalu lintas liwat, wiwit saka lapisan link data, lan ndeteksi sawetara saka sudhut serangan jaringan, uga nyoba ing akses ora sah kanggo informasi. Asring sistem kasebut duwe arsitektur sing disebar lan bisa sesambungan karo macem-macem peralatan jaringan aktif. Elinga yen akeh NIDS modern sing hibrida lan nggabungake sawetara pendekatan. Gumantung ing konfigurasi lan setelan, padha bisa ngatasi macem-macem masalah - contone, nglindhungi siji simpul utawa kabeh jaringan. Kajaba iku, fungsi IDS kanggo workstation dijupuk dening paket anti-virus, sing, amarga panyebaran Trojans ngarahake nyolong informasi, dadi firewall multifungsi sing uga ngatasi masalah ngenali lan mblokir lalu lintas sing curiga.

Kaping pisanan, IDS mung bisa ndeteksi aktivitas malware, pemindai port, utawa, ujare, pelanggaran kabijakan keamanan perusahaan. Nalika ana acara tartamtu, dheweke ngandhani administrator, nanging kanthi cepet dadi jelas yen mung ngerteni serangan kasebut ora cukup - kudu diblokir. Dadi IDS diowahi dadi IPS (Intrusion Prevention Systems) - sistem pencegahan intrusi sing bisa sesambungan karo firewall.

Cara deteksi

Solusi deteksi lan pencegahan intrusi modern nggunakake macem-macem cara kanggo ngenali aktivitas angkoro, sing bisa dipΓ©rang dadi telung kategori. Iki menehi pilihan liyane kanggo klasifikasi sistem:

  • IDS basis teken / IPS ndeteksi pola ing lalu lintas utawa ngawasi owah-owahan ing negara sistem kanggo nemtokake serangan jaringan utawa nyoba infΓ¨ksi. Padha prakteke ora menehi misfires lan positip palsu, nanging ora bisa kanggo ngenali ancaman dingerteni;
  • IDS pendeteksi anomali ora nggunakake tandha serangan. Dheweke ngerteni prilaku sistem informasi sing ora normal (kalebu anomali ing lalu lintas jaringan) lan bisa ndeteksi serangan sing ora dingerteni. Sistem kasebut menehi cukup akeh positip palsu lan, yen digunakake kanthi ora bener, lumpuh operasi jaringan lokal;
  • IDS adhedhasar aturan makarya ing prinsip: yen FAKTA banjur TINDAKAN. Intine, iki minangka sistem pakar kanthi basis pengetahuan - sakumpulan fakta lan aturan inferensi logis. Solusi kasebut mbutuhake tenaga kerja kanggo nyiyapake lan mbutuhake administrator duwe pangerten sing rinci babagan jaringan. 

Sejarah pangembangan IDS

Era pangembangan Internet lan jaringan perusahaan kanthi cepet diwiwiti ing taun 90-an ing abad pungkasan, nanging para ahli bingung karo teknologi keamanan jaringan canggih sing rada awal. Ing taun 1986, Dorothy Denning lan Peter Neumann nerbitake model IDES (Intrusion detection expert system), sing dadi basis sistem deteksi intrusi paling modern. Iki nggunakake sistem pakar kanggo ngenali jinis serangan sing dikenal, uga cara statistik lan profil pangguna / sistem. IDES mlaku ing stasiun kerja Sun, mriksa lalu lintas jaringan lan data aplikasi. Ing taun 1993, NIDES (Next-generation Intrusion Detection Expert System) dirilis - sistem pakar deteksi intrusi generasi anyar.

Adhedhasar karya Denning lan Neumann, sistem pakar MIDAS (Multics intrusion detection and alerting system) nggunakake P-BEST lan LISP muncul ing taun 1988. Ing wektu sing padha, sistem Haystack adhedhasar metode statistik digawe. Detektor anomali statistik liyane, W&S (Wisdom & Sense), dikembangake setaun sabanjure ing Laboratorium Nasional Los Alamos. Industri iki berkembang kanthi cepet. Contone, ing taun 1990, sistem TIM (Time-based induktif mesin) wis ngleksanakake deteksi anomali nggunakake learning induktif ing sequential user patterns (Common LISP language). NSM (Network Security Monitor) mbandhingake matriks akses kanggo ndeteksi anomali, lan ISOA (Asisten Petugas Keamanan Informasi) ndhukung macem-macem strategi deteksi: metode statistik, pamriksa profil lan sistem pakar. Sistem ComputerWatch digawe ing AT & T Bell Labs nggunakake cara statistik lan aturan kanggo verifikasi, lan pangembang Universitas California nampa prototipe pisanan saka IDS mbagekke bali ing 1991 - DIDS (Distributed Intrusion Detection System) uga sistem pakar.

Kaping pisanan, IDS minangka kepemilikan, nanging ing taun 1998, Laboratorium Nasional. Lawrence Berkeley ngeculake Bro (jenenge Zeek ing 2018), sistem open source sing nggunakake basa aturan proprietary kanggo nganalisa data libpcap. Ing November ing taun sing padha, APE paket sniffer nggunakake libpcap muncul, kang sasi mengko diganti jeneng Snort, lan banjur dadi IDS lengkap / IPS. Ing wektu sing padha, akeh solusi proprietary wiwit katon.

Snort lan Suricata

Akeh perusahaan luwih seneng IDS/IPS gratis lan open source. Kanggo wektu sing suwe, Snort sing wis kasebut wis dianggep minangka solusi standar, nanging saiki wis diganti dening sistem Suricata. Ayo goleki kaluwihan lan kekurangane kanthi luwih rinci. Snort nggabungake keuntungan saka metode adhedhasar tandha kanthi kemampuan kanggo ndeteksi anomali ing wektu nyata. Suricata uga ngidini sampeyan nggunakake cara liya saliyane ngenali serangan kanthi tandha tangan. Sistem iki digawe dening klompok gawe dipisahake saka project Snort lan ndhukung fungsi IPS wiwit saka versi 1.4, lan Snort ngenalaken kemampuan kanggo nyegah intrusions mengko.

Bentenane utama ing antarane rong produk populer kasebut yaiku kemampuan Suricata nggunakake komputasi GPU ing mode IDS, uga IPS sing luwih maju. Sistem iki pisanan dirancang kanggo multi-threading, nalika Snort minangka produk siji-Utas. Amarga sejarah sing dawa lan kode warisan, ora nggunakke platform hardware multiprocessor/multicore kanthi optimal, dene Suricata bisa nangani lalu lintas nganti 10 Gbps ing komputer umum biasa. Kita bisa ngomong kanggo dangu bab podho lan beda antarane loro sistem, nanging senadyan mesin Suricata dianggo luwih cepet, kanggo saluran ora amba banget iki ora wigati dhasar.

Pilihan Panyebaran

IPS kudu diselehake kanthi cara supaya sistem bisa ngawasi segmen jaringan sing dikontrol. Paling asring, iki minangka komputer darmabakti, siji antarmuka sing disambungake sawise piranti pinggiran lan "katon" liwat menyang jaringan umum sing ora dilindhungi (Internet). Antarmuka IPS liyane disambungake menyang input segmen sing dilindhungi supaya kabeh lalu lintas ngliwati sistem lan dianalisis. Ing kasus sing luwih rumit, bisa uga ana sawetara segmen sing dilindhungi: contone, ing jaringan perusahaan, zona demiliterisasi (DMZ) asring dialokasikan karo layanan sing bisa diakses saka Internet.

Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

IPS kasebut bisa nyegah pemindaian port utawa serangan brute force, eksploitasi kerentanan ing server mail, server web utawa skrip, uga jinis serangan eksternal liyane. Yen komputer ing jaringan lokal kena infeksi malware, IDS ora bakal ngidini dheweke ngubungi server botnet sing ana ing njaba. Kanggo pangayoman sing luwih serius saka jaringan internal, konfigurasi Komplek karo sistem mbagekke lan ngalih ngatur larang bisa kaca lalu lintas kanggo antarmuka IDS disambungake menyang salah siji saka bandar paling kamungkinan bakal dibutuhake.

Jaringan perusahaan asring kena serangan penolakan layanan (DDoS) sing disebarake. Sanajan IDS modern bisa ngatasi, pilihan panyebaran ing ndhuwur ora bisa mbantu ing kene. Sistem kasebut bakal ngenali aktivitas ala lan mblokir lalu lintas palsu, nanging kanggo nindakake iki, paket kasebut kudu ngliwati sambungan Internet eksternal lan tekan antarmuka jaringan. Gumantung saka intensitas serangan, saluran transmisi data bisa uga ora bisa ngatasi beban lan tujuan panyerang bakal digayuh. Kanggo kasus kaya mengkono, disaranake masang IDS ing server virtual kanthi sambungan Internet sing jelas luwih kuat. Sampeyan bisa nyambungake VPS menyang jaringan lokal liwat VPN, banjur sampeyan kudu ngatur nuntun kabeh lalu lintas njaba liwat. Banjur, yen ana serangan DDoS, sampeyan ora kudu ngirim paket liwat sambungan menyang panyedhiya; bakal diblokir ing simpul eksternal.

Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

Masalah pilihan

Pancen angel banget kanggo ngenali pimpinan ing antarane sistem gratis. Pilihan IDS / IPS ditemtokake dening topologi jaringan, fungsi keamanan sing dibutuhake, uga pilihan pribadi administrator lan kepinginan kanggo tinker karo setelan kasebut. Snort nduweni sejarah sing luwih dawa lan luwih didokumentasikan, sanajan informasi babagan Suricata uga gampang ditemokake kanthi online. Ing kasus, kanggo Master sistem sampeyan kudu nggawe sawetara efforts , kang pungkasanipun bakal mbayar - hardware komersial lan hardware-software IDS / IPS cukup larang lan ora tansah pas menyang budget. Ora ana gunane nyesel wektu sing dibuwang, amarga admin sing apik mesthi nambah katrampilan kanthi biaya majikan. Ing kahanan iki, saben wong menang. Ing artikel sabanjure kita bakal katon ing sawetara opsi panyebaran Suricata lan mbandhingakΓ© sistem luwih modern karo IDS klasik / IPS Snort ing laku.

Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

Snort utawa Suricata. Bagean 1: Milih IDS/IPS Gratis kanggo Nglindhungi Jaringan Perusahaan

Source: www.habr.com

Add a comment