Olim fire murus ordinarius et programmata anti-virorum satis erant ad retiacula localia defendenda, sed talis copia non satis efficax est contra impetus hodiernorum hackorum et malware quae nuper prolata sunt. Bona vetus firewall tantum analyses fasciculum capitis analyses, permittens vel claudens eas secundum regulas formales statutas. Nihil de contentis in facis cognoscit, ideoque non videntur legitimae actiones impugnantium agnoscere. Antivirus programmata malware non semper capiunt, ideo administrator est officiosus vigilantiae abnormalis activitatis et tempestivorum exercituum infectis segregandis.
Multa instrumenta provectus praesto sunt societatis IT infrastructuram tuendi. Hodie loquemur de fonte aperto intrusionis detectionis et systematis praeventionis, quae effici possunt sine instrumento sumptuoso ac licentias programmatibus acquirendi.
IDS/IPS partitio
IDS (Intrusion Detection System) est systema dispositum ad actiones suspectas subcriptio in retis vel in computatorio singulari. Tigna eventus servat et molestie responsalem de notitia securitatis notificat. Elementa sequentia distingui possunt ut pars IDS;
- sensoriis ad videndum commercium retis, tigna varia, etc.
- analysi subsystem, quod signa malitiose influxus in data recepta agnoscit;
- repono pro cumulatione primariorum eventuum et analyseos eventus;
- procuratio console.
Initio, IDS loco designatae sunt: notae singulae nodis (hostiae fundatae vel intrusionis Detection System - HIDS Hostiae) custodiendae vel integrae retis corporatae tutandae (retis-substructio vel Network Intrusio Detection System - NIDS). Est memorabile quod dicitur APIDS (Applicatio protocollo-substructio IDS): Protocolla applicationis-gradu limitata monent ad certos impetus cognoscendos nec penitus analysin retis facis. Huiusmodi productorum plerumque similes procuratoribus sunt et ad officia specifica tutanda: servientis interreti et applicationes interreti (exempli gratia scripta in PHP), servo database, etc. Exemplar typicum huius generis est mod_securitas pro servo Apache telae.
Magis interest in universalibus NIDS quae amplis protocolla communicationis sustinent ac technologiae DPI (Deep Packet Inspectionis) technologiae. Monent omnia negotiatio praetereuntes, a ligamento datae a strato incipiens, amplis retis incursus deprehendunt, necnon conatus ad accessum alienum ad informationem. Saepe huiusmodi systemata architecturam distributam habent et cum variis instrumentis retis activorum mutuam habent. Nota multos modernos NIDS hybridos esse et plures aditus coniungere. Pendere figurae et occasus, varias difficultates solvere possunt - exempli gratia, unam nodi vel totam reticulum custodientes. Praeterea functiones IDS pro workstationum ab anti-virorum fasciculis occupatae sunt, quae, ob propagationem Troianorum ad informationes furandi faciendas, in multifunctiones ignium murorum versae sunt, quae etiam problemata cognoscendi et claudendi suspectum negotium solvendum sunt.
Initio, IDS actio malware tantum deprehendere potuit, lustratores portus, vel, inquam, usorum violationes initis securitatis corporatae. Cum eventus quidam accidisset, administratorem notificaverunt, sed cito claruit quod oppugnationem simpliciter agnoscens non satis erat - obstruendam opus erat. Ita IDS in IPS (Intrusion Praeventionis Systems transformati sunt) - systemata intrusionis praeventionis inter se cum firemuris apta.
Modi Deprehensio
Moderni intrusionis deprehensio et solutiones praeventionis variis modis utuntur ad cognoscendam actionem malignam, quae in tria genera dividi potest. Hoc nobis optionem dat aliam ad systemata digerendi:
- Subscriptio-fundatur IDS/IPS exemplaria in commercio vel monitor mutationes in statu systemata deprehendere ut retis impetum vel infectio conatum determinare. Prope misfires et positivas falsas non dant, minas ignotas cognoscere non possunt;
- Anomaliae deprehendendi IDSs impetum subscriptionibus non utuntur. Abnormes mores systematis informationis (including anomalias in retis negotiationis) agnoscunt et etiam ignotas impetus deprehendere possunt. Huiusmodi systemata positivis falsis satis multa dant et, si perperam adhibita sunt, operationem retis localis impediunt;
- Regula-fundatur IDS opus in principio: si res tunc actio. Essentialiter hae sunt systemata periti cum basibus cognitionis — copia rerum et regulae consequentiae logicae. Tales solutiones laborant intensive sunt ut ab administratore erigantur et requirant ad singularem retis cognitionem habendi.
Historia progressionis IDS
Celeri progressionis Interreti et reticulorum corporatorum saeculo 90 incohata sunt, periti autem periti technologiae securitatis retiaculae provectae paulo ante turbati sunt. Anno 1986, Dorothy Denning et Petrus Neumann ediderunt IDVS (Detectionis systema periti intrusionis) quod fundamentum factus est rationum recentium intrusionis deprehensio. Peritus systematis usus est ad cognoscendas rationes oppugnationis, necnon methodos statisticas et perfiles usoris /. IDUS currit in solis operibus, inspiciendo negotiationem retis et data applicatione. Anno 1993, NIDES (Detection Periti Systema intrusionis proxima-generationis) dimissus est - nova generationis intrusio deprehensio systematis experti.
Ex opere Denning et Neumann, Midas (intrusionis multiticae detectionis et systematis erecti) ratio peritia utens P-OPTIMUM et LISP anno 1988 apparuit. Eodem tempore, systema Haystack in statisticis methodis condita est. Alia anomaliae statistica detector, W&S (Sapiens & Sensus), anno post in Los Alamos National Laboratorium exculta est. Industria celeri gradu progrediebatur. Exempli gratia, anno 1990, systema TIM (machinae inductivae tempore fundatae) iam anomalia detectio in effectum perducta est utens doctrina inductiva in exemplaria usoris sequentialis (lingua communis LISP). ASM (Network Monitor Securitatis) matrices accessum comparavit ad anomalias deprehendendas, et ISOA (Informatio Securitatis Muneris Assistentis) varias rationes deprehendendi suscepit: methodos statisticas, systema reprimendum et peritia profile. Systema ComputerWatch creatum ad AT&T Bell Labs statisticae methodi et regulae verificationis usus est, et University of California tincidunt primum exemplar distributae IDS rursus anno 1991 - DIDS (Intrusion Detection System distributum) etiam systema peritum accepit.
Primo, IDS proprietatis fuit, sed iam anno 1998, National Laboratorium. Laurentius Berkeley Bro (Zeek in 2018 nominato) dimissus est, fontem apertum, quo regulas linguae proprietatis utitur ad notitias libpcap analyndas. Mense Novembri eiusdem anni, APE reticulum umoris usus libpcap apparuit, qui post mensem Snort appellatus est, et postea factus est plenus IDS/IPS. Eodem tempore multae solutiones proprietatis apparere coeperunt.
Snort et Suricata
Multae societates liberum et apertum fontem IDS/IPS praeferunt. Diu iam memoratum Snort solutionem normae habebatur, nunc systemate Suricata supplantata est. Eorum commoda et incommoda paulo accuratius inspiciamus. Snort coniungit beneficia methodo substructio substructio cum facultate anomaliae in tempore reali deprehendendi. Suricata etiam permittit ut aliis modis utaris, praeter impetus subscriptionum agnoscendo. Systema creatum est per coetus tincidunt separatos ab incepto Snort et sustinet IPS functiones a versione 1.4 incipientes, et Snort facultatem intrusionum postea prohibendi induxit.
Praecipua differentia inter duos productos populares est Suricata facultas utendi GPU in IDS modo computandi, necnon IPS provectioribus. Ratio initio multi-lineae destinata est, dum Snort est una-filam producti. Ob longam historiam et codicem legatum, multiprocessoris / multicorei ferramentorum suggestuum optime non utetur, cum Suricata negotiatio usque ad 10 Gbps in computatoribus generalibus regularibus propositis tractari potest. Diu loqui possumus de similitudinibus ac differentiis utriusque systematis, sed quamvis machina Suricata velocius operatur, nam canales non nimis latos hoc maximi momenti non est.
Optiones instruere
IPS ita collocari debet ut systema retis sub sua potestate monitorem possit. Saepissime hoc dedicatum est computatorium, cuius unum interface post machinis marginem et "vultus" coniungitur per illas in retiacula publica indefensa (per Internet). Aliud interface IPS cum input custodiae segmenti coniungitur ut omnia negotiatio per systema transit et resolvitur. In pluribus casibus implicatis, plura segmenta tuta esse possunt: exempli gratia, in reticulis corporatis zona demilitarizata (DMZ) saepe partita cum servitiis e Interrete pervia.
Talis IPS portum vim incursus vel tesseras violentas praevertere potest, abusus vulnerabilium in servo electronico, servo telae vel scriptorum, necnon alia genera oppugnationum externarum. Si computers in retiacula locali malware inficiuntur, IDS non permittunt ut ministris botnetes extra positis contactum. Ad tutelam retis interni internae, figuratio coniuncta cum systemate distributo et pretiosae virgas tractatae, capax speculandi commercii IDS interfaciei ad unum portuum conexum maxime requiri futurum est.
Corporate retiacula saepe obnoxia negationi servitii (DDoS) dispertitae sunt. Etsi moderni IDS cum illis agere possunt, optionis instituti superius veri simile est hic adiuvare. Systema malignam actionem cognoscet et mercaturam spuriam obstruet, sed ut hoc facias, fasciculi per conexionem externam interretialem ac retis interfaciem attingere debent. Pro intensio oppugnationis, alveus transmissionis notitiae oneris et finis oppugnatores obire non poterunt. Talibus in casibus commendamus disponere IDS in virtualis servo cum manifesto potentiori interreti nexu. VPS ad network locali per a VPN coniungere potes, et tunc opus est ut omnem negotiationem externam per illam evertere debeas. Tunc, in casu impetus DDoS, fasciculos per nexum provisoris mittere non debebis, nodo externo claudentur.
A problem of choice
Difficillimum est ducem inter systemata libera cognoscere. Electio IDS/IPS determinatur per topologiam retis, functiones securitatis debitas, necnon optiones personales administratoris et voluntatem eius cum uncinis tinniendi. Snort longiorem historiam habet et documentum melius est, quamvis notitia de Suricata facile etiam in online invenire est. Utcumque, ad systema comprehendendum debebis aliquid operandi, quod tandem solvet - hardware commercialis et hardware-software IDS/IPS valde sumptuosus ac non semper in praevisionem aptus. Nihil est quod paeniteat tempus terere, quia bonus admin semper suas artes cum dico dispendio meliorat. Hoc loco omnes vincit. In proximo articulo videbimus aliquas optiones instruere Suricatam et comparare recentiorem systema classicorum IDS/IPS Snort in usu.
Source: www.habr.com