Бир кезде локалдык тармакты коргоо үчүн кадимки брандмауэр жана антивирустук программалар жетиштүү болчу, бирок мындай топтом заманбап хакерлердин чабуулдарына жана жакында эле жайылып кеткен зыяндуу программаларга каршы жетиштүү эффективдүү болбой калды. Жакшы эски брандмауэр пакеттин аталыштарын гана талдайт, аларды расмий эрежелердин жыйындысына ылайык өткөрүп же бөгөттөйт. Ал пакеттердин мазмуну жөнүндө эч нерсе билбейт, ошондуктан бузукулардын сырткы мыйзамдуу аракеттерин тааный албайт. Антивирус программалары дайыма эле зыяндуу программаларды кармай бербейт, андыктан администратордун алдында аномалдык активдүүлүккө мониторинг жүргүзүү жана жуккан хостторду өз убагында изоляциялоо милдети турат.
Компаниянын IT инфраструктурасын коргоого мүмкүндүк берген көптөгөн өнүккөн инструменттер бар. Бүгүн биз кымбат баалуу аппараттык жана программалык камсыздоо лицензияларын сатып албастан ишке ашырыла турган ачык булактуу интрузияларды аныктоо жана алдын алуу системалары жөнүндө сүйлөшөбүз.
IDS/IPS классификациясы
IDS (Intrusion Detection System) – тармактагы же өзүнчө компьютердеги шектүү аракеттерди каттоо үчүн иштелип чыккан система. Ал окуялар журналдарын жүргүзөт жана алар жөнүндө маалыматтык коопсуздук үчүн жооптуу адамга кабарлайт. IDS төмөнкү элементтерди камтыйт:
- тармак трафигин көрүү үчүн сенсорлор, ар кандай журналдар ж.б.
- алынган маалыматтарда зыяндуу таасирлердин белгилерин аныктоочу талдоо подсистемасы;
- баштапкы окуяларды жана талдоо натыйжаларын топтоо үчүн сактоо;
- башкаруу консолу.
Башында IDS жайгашкан жери боюнча классификацияланган: алар жеке түйүндөрдү коргоого (хостко негизделген же Хосттун интрузиясын аныктоо системасы - HIDS) же бүткүл корпоративдик тармакты (тармакка негизделген же Network Intrusion Detection System - NIDS) коргоого багытталышы мүмкүн. деп аталгандарды айта кетуу керек. APIDS (Application protocol-based IDS): алар конкреттүү чабуулдарды аныктоо үчүн колдонмо катмарынын протоколдорунун чектелген топтомун көзөмөлдөйт жана тармак пакеттерин терең талдабайт. Мындай продуктылар адатта проксиге окшошуп, белгилүү кызматтарды коргоо үчүн колдонулат: веб-сервер жана веб-тиркемелер (мисалы, PHPде жазылган), маалыматтар базасынын серверлери ж.б. Бул класстын типтүү өкүлү Apache веб сервери үчүн mod_security болуп саналат.
Бизди коммуникация протоколдорунун кеңири спектрин жана DPI (Deep Packet Inspection) пакеттик талдоо технологияларын колдогон универсалдуу NIDS көбүрөөк кызыктырат. Алар маалымат шилтемеси катмарынан баштап бардык өткөн трафикти көзөмөлдөп, тармактык чабуулдардын кеңири спектрин, ошондой эле маалыматка уруксатсыз кирүүлөрдү аныкташат. Көбүнчө мындай системалар бөлүштүрүлгөн архитектурага ээ жана ар кандай активдүү тармактык жабдуулар менен иштеше алат. Көптөгөн заманбап NIDS гибриддик жана бир нече ыкмаларды айкалыштырат. Конфигурацияга жана орнотууларга жараша алар ар кандай маселелерди чече алышат - мисалы, бир түйүндү же бүт тармакты коргоо. Кошумчалай кетсек, жумушчу станциялар үчүн IDS функцияларын антивирустук пакеттер кабыл алган, алар маалыматты уурдоого багытталган трояндардын жайылышынан улам шектүү трафикти таануу жана бөгөттөө милдеттерин чечүүчү көп функционалдуу брандмауэрлерге айланган.
Башында, IDS кесепеттүү программанын активдүүлүгүн, порт сканерлерин же, айталы, колдонуучунун корпоративдик коопсуздук саясатын бузууларын гана аныктай алган. Белгилүү бир окуя болгондо, алар администраторго кабарлашты, бирок чабуулду жөн эле таануу жетишсиз экени бат эле айкын болду - аны бөгөттөө керек. Ошентип, IDS IPS (Intrusion Prevention Systems) - брандмауэрлер менен өз ара аракеттене ала турган интрузиянын алдын алуу тутумдарына айланды.
аныктоо ыкмалары
Заманбап чабуулдарды аныктоо жана алдын алуу чечимдери зыяндуу аракеттерди аныктоо үчүн ар кандай ыкмаларды колдонушат, аларды үч категорияга бөлүүгө болот. Бул системаларды классификациялоо үчүн дагы бир мүмкүнчүлүк берет:
- Кол коюуга негизделген IDS/IPS трафиктин үлгүлөрүн издейт же тармактын чабуулун же инфекция аракетин аныктоо үчүн системанын абалынын өзгөрүүлөрүн көзөмөлдөйт. Алар иш жүзүндө каталарды жана жалган позитивдерди бербейт, бирок белгисиз коркунучтарды таба алышпайт;
- Аномалияны аныктоочу IDS'лер чабуул колдорун колдонушпайт. Алар маалымат системаларынын анормалдуу жүрүм-турумун (анын ичинде тармак трафигиндеги аномалияларды) таанып, атүгүл белгисиз чабуулдарды да таба алышат. Мындай системалар бир топ жалган позитивдерди берет жана туура эмес колдонулса, локалдык тармактын ишин начарлатат;
- Эрежеге негизделген IDSтер төмөнкүдөй иштешет: эгерде FACT анда АКЦИЯ. Чынында, бул билим базасы бар эксперттик системалар - фактылардын жана корутунду эрежелеринин жыйындысы. Мындай чечимдерди орнотуу көп убакытты талап кылат жана администратордон тармакты толук түшүнүүнү талап кылат.
IDSтин өнүгүү тарыхы
Интернеттин жана корпоративдик тармактардын тез өнүгүү доору өткөн кылымдын 90-жылдарында башталган, бирок эксперттер тармактык коопсуздуктун өнүккөн технологияларына бир аз мурда таң калышты. 1986-жылы Дороти Деннинг жана Питер Нейманн көптөгөн заманбап чабуулдарды аныктоо системаларынын негизи болуп калган IDES (Интрузияны аныктоо эксперттик системасы) моделин жарыялашкан. Ал белгилүү чабуулдарды, ошондой эле статистикалык ыкмаларды жана колдонуучу/системанын профилдерин аныктоо үчүн эксперттик системаны колдонгон. IDES тармак трафигин жана колдонмо маалыматтарын текшерип, Sun жумушчу станцияларында иштеген. 1993-жылы, NIDES (Кийинки муундун Intrusion Detection Expert System) жаңы муундагы интрузияны аныктоонун эксперттик системасы чыгарылган.
Деннинг менен Неймандын иштеринин негизинде 1988-жылы P-BEST жана LISP колдонуу менен MIDAS (Multics intrusion detection and alerting system) эксперттик системасы пайда болгон. Ошол эле учурда статистикалык методдорго негизделген Haystack системасы түзүлгөн. Дагы бир статистикалык аномалия детектору, W&S (Wisdom & Sense) бир жылдан кийин Лос Аламос улуттук лабораториясында иштелип чыккан. Онер жайын енуктуруу тез темп менен журду. Мисалы, 1990-жылы аномалияларды аныктоо TIM (Убакыт негизиндеги индуктивдүү машина) системасында ырааттуу колдонуучу моделдер боюнча индуктивдүү окутууну колдонуу менен ишке ашырылган (Common LISP тили). NSM (Network Security Monitor) аномалияларды аныктоо үчүн кирүү матрицаларын салыштырган жана ISOA (Маалымат коопсуздугу боюнча офицердин жардамчысы) аныктоонун ар кандай стратегияларын колдогон: статистикалык ыкмалар, профилди текшерүү жана эксперттик система. AT & T Bell лабораториясында түзүлгөн ComputerWatch системасы текшерүү үчүн статистикалык ыкмаларды да, эрежелерди да колдонгон жана Калифорния университетинин иштеп чыгуучулары 1991-жылы бөлүштүрүлгөн IDSтин биринчи прототибин алышкан - DIDS (Distributed Intrusion Dection System) да эксперт болгон. системасы.
Башында IDS жеке менчик болгон, бирок 1998-жылы Улуттук лаборатория болгон. Берклидеги Лоуренс Bro (2018-жылы Zeek аталышы өзгөртүлдү) libpcap маалыматтарын талдоо үчүн өзүнүн эрежелеринин тилин колдонгон ачык булак системасын чыгарды. Ошол эле жылдын ноябрында libpcap колдонгон APE пакеттик снайфер пайда болду, ал бир айдан кийин Snort деп аталып, кийинчерээк толук кандуу IDS/IPS болуп калды. Ошол эле учурда, көптөгөн проприетардык чечимдер пайда боло баштады.
Snort жана Suricata
Көптөгөн компаниялар эркин жана ачык булак IDS/IPS артык көрүшөт. Узак убакыт бою, буга чейин айтылган Snort стандарттуу чечим болуп саналат, бирок азыр ал Suricata системасы менен алмаштырылган. бир аз майда-чүйдөсүнө чейин, алардын артыкчылыктарын жана кемчиликтерин карап көрөлү. Snort кол коюу ыкмасынын артыкчылыктарын реалдуу убакытта аномалияны аныктоо менен айкалыштырат. Suricata ошондой эле кол кол аныктоо тышкары башка ыкмаларды берет. Система Snort долбоорунан бөлүнүп чыккан иштеп чыгуучулардын тобу тарабынан түзүлгөн жана 1.4 версиясынан бери IPS функцияларын колдойт, ал эми интрузиянын алдын алуу Snortто кийинчерээк пайда болгон.
Эки популярдуу өнүмдөрдүн ортосундагы негизги айырмачылык Suricata IDS эсептөө үчүн GPU, ошондой эле бир кыйла өнүккөн IPS колдонуу жөндөмдүүлүгү болуп саналат. Система алгач көп жиптүү үчүн иштелип чыккан, ал эми Snort бир жиптүү продукт. Узак тарыхы жана эски кодунан улам, ал көп процессорлуу/көп ядролуу аппараттык платформаларды оптималдуу колдонбойт, ал эми Suricata кадимки жалпы максаттагы компьютерлерде 10 Гбит/сек чейин трафикти башкара алат. Сиз көп убакыт бою эки системанын ортосундагы окшоштуктар жана айырмачылыктар жөнүндө айта аласыз, бирок Suricata кыймылдаткычы тезирээк иштейт да, өтө кенен эмес каналдар үчүн бул маанилүү эмес.
Жайгаштыруу параметрлери
IPS система өзүнүн көзөмөлүндөгү тармак сегменттерин көзөмөлдөй тургандай кылып жайгаштырылышы керек. Көбүнчө, бул атайын компьютер, анын бир интерфейси четтеги түзмөктөрдөн кийин туташып, алар аркылуу корголбогон коомдук тармактарга (Интернет) "карайт". Башка IPS интерфейси корголгон сегменттин киришине туташтырылып, бардык трафик система аркылуу өтүп, талданат. Татаал учурларда бир нече корголгон сегменттер болушу мүмкүн: мисалы, корпоративдик тармактарда демилитаризацияланган аймак (DMZ) көбүнчө Интернеттен жеткиликтүү кызматтар менен бөлүштүрүлөт.
Мындай IPS портторду сканерлөөдөн же катаал чабуулдардан, почта сервериндеги, веб-сервердеги же скрипттердеги алсыздыктарды пайдалануудан, ошондой эле тышкы чабуулдардын башка түрлөрүн алдын алат. Эгерде локалдык тармактагы компьютерлер кесепеттүү программаны жуктуруп алса, IDS аларга сыртта жайгашкан ботнет серверлери менен байланышууга жол бербейт. Ички тармакты олуттуураак коргоо, кыязы, бөлүштүрүлгөн система менен татаал конфигурацияны жана порттордун бирине туташтырылган IDS интерфейси үчүн трафикти чагылдырууга жөндөмдүү кымбат башкарылуучу өчүргүчтөрдү талап кылат.
Көп учурда корпоративдик тармактар бөлүштүрүлгөн кызматтан баш тартуу (DDoS) чабуулдарына дуушар болушат. Заманбап IDS алар менен күрөшө алса да, бул жерде жогоруда жайгаштыруу варианты анча деле жардам бербейт. Система зыяндуу аракеттерди тааныйт жана жасалма трафикти блоктойт, бирок бул үчүн пакеттер тышкы Интернет байланышы аркылуу өтүп, анын тармактык интерфейсине жетиши керек. Чабуулдун интенсивдүүлүгүнө жараша маалымат берүү каналы жүктү көтөрө албай калышы мүмкүн жана чабуулчулардын максаты ишке ашат. Мындай учурларда биз IDSти белгилүү жакшыраак интернет байланышы бар виртуалдык серверге жайылтууну сунуштайбыз. VPSти жергиликтүү тармакка VPN аркылуу туташтыра аласыз, андан кийин ал аркылуу бардык тышкы трафиктин маршрутун конфигурациялашыңыз керек болот. Андан кийин, DDoS чабуулу болгон учурда, сиз провайдер менен байланыш аркылуу пакеттерди айдап салбайсыз, алар тышкы хостто бөгөттөлөт.
тандоо маселеси
Эркин системалардын ичинен лидерди аныктоо өтө кыйын. IDS/IPS тандоо тармактын топологиясы, керектүү коргоо функциялары, ошондой эле администратордун жеке каалоолору жана анын жөндөөлөр менен иштөө каалоосу менен аныкталат. Snort узун тарыхка ээ жана жакшыраак документтештирилген, бирок Суриката жөнүндө маалыматты интернеттен табуу оңой. Кандай болгон күндө да, системаны өздөштүрүү үчүн бир аз күч-аракет жумшоого туура келет, ал акыры өзүн актайт - коммерциялык аппараттык жана аппараттык-программалык IDS/IPS абдан кымбат жана дайыма эле бюджетке туура келбейт. Кеткен убакыт үчүн өкүнбөшүңүз керек, анткени жакшы администратор жумуш берүүчүнүн эсебинен өзүнүн квалификациясын ар дайым жогорулатат. Мындай кырдаалда бардыгы утат. Кийинки макалада биз Suricata жайгаштыруунун кээ бир варианттарын карап чыгабыз жана иш жүзүндө классикалык IDS/IPS Snort менен заманбап системаны салыштырабыз.
Source: www.habr.com