Бір кездері жергілікті желіні қорғау үшін кәдімгі брандмауэр және антивирустық бағдарламалар жеткілікті болды, бірақ мұндай жиынтық қазіргі заманғы хакерлердің шабуылдарына және жақында кең тараған зиянды бағдарламаларға қарсы жеткілікті тиімді емес. Жақсы ескі брандмауэр тек пакет тақырыптарын талдайды, оларды ресми ережелер жинағына сәйкес өткізеді немесе блоктайды. Ол пакеттердің мазмұны туралы ештеңе білмейді, сондықтан зиянкестердің сыртқы заңды әрекеттерін тани алмайды. Вирусқа қарсы бағдарламалар әрқашан зиянды бағдарламаларды ұстай бермейді, сондықтан администратордың алдында аномальды белсенділікті бақылау және дер кезінде вирус жұққан хосттарды оқшаулау міндеті тұр.
Компанияның АТ-инфрақұрылымын қорғауға мүмкіндік беретін көптеген жетілдірілген құралдар бар. Бүгін біз қымбат аппараттық және бағдарламалық жасақтама лицензияларын сатып алмай-ақ іске асыруға болатын ашық бастапқы кодты басып кіруді анықтау және алдын алу жүйелері туралы айтатын боламыз.
IDS/IPS классификациясы
IDS (Intrusion Detection System) – желідегі немесе бөлек компьютердегі күдікті әрекеттерді тіркеуге арналған жүйе. Ол оқиғалар журналдарын жүргізеді және олар туралы ақпараттық қауіпсіздікке жауапты тұлғаға хабарлайды. IDS келесі элементтерді қамтиды:
- желілік трафикті, әртүрлі журналдарды қарауға арналған сенсорлар және т.б.
- алынған деректердегі зиянды әсерлердің белгілерін анықтайтын талдаудың ішкі жүйесі;
- бастапқы оқиғалар мен талдау нәтижелерін жинақтау үшін сақтау;
- басқару консолі.
Бастапқыда IDS орналасқан жері бойынша жіктелді: олар жеке түйіндерді (хостқа негізделген немесе хосттың шабуылды анықтау жүйесі - HIDS) қорғауға немесе бүкіл корпоративтік желіні (желіге негізделген немесе желілік шабуылды анықтау жүйесі - NIDS) қорғауға бағытталған болуы мүмкін. деп аталатынын айта кеткен жөн. APIDS (Application protocol-based IDS): олар арнайы шабуылдарды анықтау үшін қолданбалы деңгей протоколдарының шектеулі жинағын бақылайды және желі пакеттерін терең талдамайды. Мұндай өнімдер әдетте прокси-серверлерге ұқсайды және белгілі бір қызметтерді қорғау үшін қолданылады: веб-сервер және веб-қосымшалар (мысалы, PHP тілінде жазылған), деректер базасының серверлері және т.б. Бұл класстың типтік өкілі Apache веб-серверіне арналған mod_security болып табылады.
Бізді кең ауқымды байланыс хаттамалары мен DPI (Deep Packet Inspection) пакеттік талдау технологияларын қолдайтын әмбебап NIDS қызықтырады. Олар деректерді байланыстыру деңгейінен бастап барлық өтетін трафикті бақылайды және желілік шабуылдардың кең ауқымын, сондай-ақ ақпаратқа рұқсатсыз кіруді анықтайды. Көбінесе мұндай жүйелер бөлінген архитектураға ие және әртүрлі белсенді желілік жабдықтармен әрекеттесе алады. Көптеген заманауи NIDS гибридті және бірнеше тәсілдерді біріктіретінін ескеріңіз. Конфигурация мен параметрлерге байланысты олар әртүрлі мәселелерді шеше алады - мысалы, бір түйінді немесе бүкіл желіні қорғау. Сонымен қатар, жұмыс станцияларына арналған IDS функцияларын антивирустық пакеттер алды, олар ақпаратты ұрлауға бағытталған трояндардың таралуына байланысты күдікті трафикті тану және блоктау міндеттерін де шешетін көп функционалды брандмауэрлерге айналды.
Бастапқыда IDS тек зиянды бағдарлама әрекетін, порт сканерлерін немесе, айталық, пайдаланушының корпоративтік қауіпсіздік саясаттарын бұзуын анықтай алады. Белгілі бір оқиға болған кезде, олар әкімшіге хабарлайды, бірақ шабуылды тану жеткіліксіз екені тез белгілі болды - оны бұғаттау керек болды. Осылайша, IDS IPS (Intrusion Prevention Systems) - желіаралық қалқандармен әрекеттесе алатын интрузияның алдын алу жүйелеріне айналды.
Анықтау әдістері
Заманауи шабуылдарды анықтау және алдын алу шешімдері зиянды әрекетті анықтаудың әртүрлі әдістерін пайдаланады, оларды үш санатқа бөлуге болады. Бұл бізге жүйелерді жіктеудің басқа нұсқасын береді:
- Қолтаңба негізіндегі IDS/IPS трафиктегі үлгілерді іздейді немесе желі шабуылын немесе жұқтыру әрекетін анықтау үшін жүйе күйінің өзгерістерін бақылайды. Олар іс жүзінде қателіктер мен жалған позитивтерді бермейді, бірақ белгісіз қауіптерді анықтай алмайды;
- Аномалияны анықтайтын IDS шабуыл қолтаңбаларын пайдаланбайды. Олар ақпараттық жүйелердің қалыптан тыс әрекетін (соның ішінде желілік трафиктегі ауытқуларды) таниды және тіпті белгісіз шабуылдарды анықтай алады. Мұндай жүйелер өте көп жалған позитивтер береді және егер дұрыс пайдаланылмаса, жергілікті желінің жұмысын тоқтатады;
- Ережеге негізделген IDS келесідей жұмыс істейді: егер FACT болса, онда ӘРЕКЕТ. Шындығында, бұл білім базасы бар сараптамалық жүйелер – қорытынды жасау фактілері мен ережелерінің жиынтығы. Мұндай шешімдерді орнату көп уақытты қажет етеді және әкімшіден желі туралы егжей-тегжейлі түсінікті болуын талап етеді.
IDS даму тарихы
Интернет пен корпоративтік желілердің қарқынды даму дәуірі өткен ғасырдың 90-шы жылдары басталды, дегенмен сарапшыларды желілік қауіпсіздіктің озық технологиялары сәл ертерек таң қалдырды. 1986 жылы Дороти Деннинг пен Питер Нейман көптеген заманауи интрузияларды анықтау жүйелерінің негізіне айналған IDES моделін (Intrusion detection ekspert system) жариялады. Ол белгілі шабуылдарды, сондай-ақ статистикалық әдістер мен пайдаланушы/жүйе профильдерін анықтау үшін сараптамалық жүйені пайдаланды. IDES Sun жұмыс станцияларында жұмыс істеп, желі трафигі мен қолданба деректерін тексереді. 1993 жылы NIDES (Next-generation Intrusion Detection Expert System) шығарылды - жаңа буынның басып кіруді анықтау сарапшы жүйесі.
Деннинг пен Нейманның жұмысының негізінде 1988 жылы P-BEST және LISP көмегімен MIDAS (Multics intrusion detection and alerting system) сараптамалық жүйесі пайда болды. Сонымен бірге статистикалық әдістерге негізделген Haystack жүйесі құрылды. Тағы бір статистикалық аномалия детекторы W&S (Wisdom & Sense) бір жылдан кейін Лос-Аламос ұлттық зертханасында әзірленді. Өнеркәсіптің дамуы жылдам қарқынмен жүрді. Мысалы, 1990 жылы аномалияларды анықтау TIM (Уақытқа негізделген индуктивті машина) жүйесінде ретті пайдаланушы үлгілері бойынша индуктивті оқытуды қолдана отырып (Common LISP тілі) енгізілді. NSM (Network Security Monitor) аномалияларды анықтауға арналған рұқсат матрицаларын салыстырды және ISOA (Ақпараттық қауіпсіздік қызметкерінің көмекшісі) әртүрлі анықтау стратегияларына қолдау көрсетті: статистикалық әдістер, профильді тексеру және сараптамалық жүйе. AT & T Bell Labs-та жасалған ComputerWatch жүйесі тексеру үшін статистикалық әдістерді де, ережелерді де қолданды, ал Калифорния университетінің әзірлеушілері таратылған IDS-тің алғашқы прототипін 1991 жылы алды - DIDS (таратылған енуді анықтау жүйесі) сонымен қатар сарапшы болды. жүйесі.
Бастапқыда IDS жеке меншік болды, бірақ 1998 жылы Ұлттық зертхана болды. Берклидегі Лоуренс Bro (2018 жылы Zeek атауы өзгертілді), libpcap деректерін талдау үшін өзінің ережелер тілін пайдаланатын ашық бастапқы жүйені шығарды. Сол жылдың қарашасында libpcap көмегімен APE пакеттік снайфері пайда болды, ол бір айдан кейін Snort деп өзгертілді, кейінірек толыққанды IDS / IPS болды. Сонымен қатар көптеген меншікті шешімдер пайда бола бастады.
Снорт пен Суриката
Көптеген компаниялар IDS/IPS тегін және ашық бастапқы кодты қалайды. Ұзақ уақыт бойы жоғарыда аталған Snort стандартты шешім болып саналды, бірақ қазір ол Suricata жүйесімен ауыстырылды. Олардың артықшылықтары мен кемшіліктерін толығырақ қарастырыңыз. Snort қолтаңба әдісінің артықшылықтарын нақты уақыттағы аномалияны анықтаумен біріктіреді. Suricata шабуыл қолтаңбасын анықтаудан басқа басқа әдістерге де мүмкіндік береді. Жүйені Snort жобасынан бөлінген және 1.4 нұсқасынан бастап IPS мүмкіндіктерін қолдайтын әзірлеушілер тобы жасаған, ал Snort-та шабуылдың алдын алу кейінірек пайда болды.
Екі танымал өнімнің арасындағы негізгі айырмашылық - Suricata-ның GPU-ны IDS есептеулері үшін, сондай-ақ жетілдірілген IPS-ті пайдалану мүмкіндігі. Жүйе бастапқыда көп ағынды үшін жасалған, ал Snort бір ағынды өнім. Ұзақ тарихы мен ескі кодының арқасында ол көп процессорлы/көп ядролы аппараттық платформаларды оңтайлы пайдаланбайды, ал Suricata қалыпты жалпы мақсаттағы компьютерлерде 10 Гбит/с дейінгі трафикті өңдей алады. Екі жүйенің ұқсастықтары мен айырмашылықтары туралы ұзақ уақыт бойы айтуға болады, бірақ Suricata қозғалтқышы жылдамырақ жұмыс істейтініне қарамастан, тым кең емес арналар үшін бұл маңызды емес.
Орналастыру опциялары
IPS жүйе өз бақылауындағы желі сегменттерін бақылай алатындай етіп орналастырылуы керек. Көбінесе бұл арнайы компьютер, оның бір интерфейсі шеткі құрылғылардан кейін қосылады және олар арқылы қорғалмаған жалпы желілерге (Интернет) «қаралады». Басқа IPS интерфейсі қорғалған сегменттің кірісіне қосылған, осылайша барлық трафик жүйе арқылы өтеді және талданады. Неғұрлым күрделі жағдайларда бірнеше қорғалған сегменттер болуы мүмкін: мысалы, корпоративтік желілерде демилитаризацияланған аймақ (DMZ) жиі Интернеттен қолжетімді қызметтермен бөлінеді.
Мұндай IPS портты сканерлеуді немесе қатал шабуылдарды, пошта серверіндегі, веб-сервердегі немесе сценарийлердегі осалдықтарды пайдалануды, сондай-ақ сыртқы шабуылдардың басқа түрлерін болдырмайды. Жергілікті желідегі компьютерлер зиянды бағдарламамен зақымдалған болса, IDS оларға сыртта орналасқан ботнет серверлерімен байланысуға рұқсат бермейді. Ішкі желіні неғұрлым күрделі қорғау үшін порттардың біріне қосылған IDS интерфейсі үшін трафикті шағылыстыруға қабілетті бөлінген жүйе мен қымбат басқарылатын қосқыштар бар күрделі конфигурация қажет болуы мүмкін.
Көбінесе корпоративтік желілер таратылған қызмет көрсетуден бас тарту (DDoS) шабуылдарына ұшырайды. Заманауи IDS олармен жұмыс істей алатынына қарамастан, жоғарыдағы орналастыру опциясы мұнда аз көмектеседі. Жүйе зиянды әрекетті таниды және жалған трафикті блоктайды, бірақ бұл үшін пакеттер сыртқы Интернет қосылымы арқылы өтіп, оның желілік интерфейсіне жетуі керек. Шабуылдың қарқындылығына байланысты деректерді беру арнасы жүктемені көтере алмауы мүмкін және шабуылдаушылардың мақсаты орындалады. Мұндай жағдайларда IDS-ті белгілі жақсырақ интернет қосылымы бар виртуалды серверде орналастыруды ұсынамыз. VPS-ті жергілікті желіге VPN арқылы қосуға болады, содан кейін ол арқылы барлық сыртқы трафиктің бағытын конфигурациялау қажет болады. Содан кейін, DDoS шабуылы болған жағдайда, пакеттерді провайдерге қосылу арқылы жүргізудің қажеті жоқ, олар сыртқы хостта блокталады.
Таңдау мәселесі
Еркін жүйелер арасында көшбасшыны анықтау өте қиын. IDS/IPS таңдау желі топологиясымен, қажетті қауіпсіздік мүмкіндіктерімен, сондай-ақ әкімшінің жеке қалауларымен және оның параметрлермен айналысқысы келетіндігімен анықталады. Snort тарихы ұзағырақ және жақсырақ құжатталған, дегенмен Суриката туралы ақпаратты интернеттен табу оңай. Қалай болғанда да, жүйені меңгеру үшін сізге біраз күш салу керек болады, ол ақыр соңында өзін ақтайды - коммерциялық аппараттық және аппараттық-бағдарламалық қамтамасыз ету IDS / IPS айтарлықтай қымбат және әрқашан бюджетке сәйкес келмейді. Сіз өткізген уақытыңызға өкінбеуіңіз керек, өйткені жақсы әкімші әрқашан жұмыс берушінің есебінен өз біліктілігін арттырады. Бұл жағдайда барлығы жеңеді. Келесі мақалада біз Suricata-ны орналастырудың кейбір нұсқаларын қарастырамыз және іс жүзінде классикалық IDS/IPS Snort жүйесімен неғұрлым заманауи жүйені салыстырамыз.
Ақпарат көзі: www.habr.com