Eemol war eng gewéinlech Firewall an Anti-Virus Programmer genuch fir de lokalen Netzwierk ze schützen, awer esou e Set ass net méi effektiv genuch géint d'Attacke vu modernen Hacker an d'Malware déi viru kuerzem verbreet ass. Déi gutt al Firewall analyséiert nëmme Paketheader, passéiert oder blockéiert se am Aklang mat enger Rei vu formelle Reegelen. Et weess näischt iwwer d'Inhalter vun de Packagen, an dofir kann d'äusserlech legitim Handlunge vun den Intruder net erkennen. Anti-Virus Programmer fangen net ëmmer Malware, sou datt den Administrateur mat der Aufgab konfrontéiert ass, anomal Aktivitéit ze iwwerwaachen an infizéiert Hosten op eng fristgerecht Manéier ze isoléieren.
Et gi vill fortgeschratt Tools déi Iech erlaben d'IT Infrastruktur vun der Firma ze schützen. Haut wäerte mir iwwer Open Source Andréngen Detektioun a Präventiounssystemer schwätzen, déi implementéiert kënne ginn ouni deier Hardware a Software Lizenzen ze kafen.
IDS / IPS Klassifikatioun
IDS (Intrusion Detection System) ass e System entwéckelt fir verdächteg Aktivitéiten op engem Netzwierk oder op engem separaten Computer ze registréieren. Et ënnerhält Event Logbicher an informéiert déi verantwortlech Persoun fir Informatiounssécherheet iwwer si. D'IDS enthält déi folgend Elementer:
- Sensoren fir den Netzverkéier, verschidde Logbicher, etc.
- en Analyse-Subsystem deen Unzeeche vu schiedlechen Effekter an de kritt Donnéeën erkennt;
- Stockage fir Akkumulation vun primären Eventer an Analyseresultater;
- Gestioun Konsol.
Am Ufank goufen IDS no Standuert klasséiert: si konnten sech fokusséieren op de Schutz vun individuellen Noden (Host-baséiert oder Host Intrusion Detection System - HIDS) oder de ganze Firmennetz (Netzwierkbaséiert oder Network Intrusion Detection System - NIDS) ze schützen. Et ass derwäert de sougenannten ze ernimmen. APIDS (Applikatiounsprotokoll-baséiert IDS): si iwwerwaachen e limitéierten Set vun Applikatiounsschichtprotokoller fir spezifesch Attacken z'entdecken an net déif Netzwierkspäck analyséieren. Esou Produkter ähnelen normalerweis Proxyen a gi benotzt fir spezifesch Servicer ze schützen: Webserver a Webapplikatiounen (zum Beispill geschriwwen a PHP), Datebankserver, asw. En typesche Vertrieder vun dëser Klass ass mod_security fir den Apache Webserver.
Mir sinn méi interesséiert fir universell NIDS déi eng breet Palette vu Kommunikatiounsprotokoller an DPI (Deep Packet Inspection) Paketanalysetechnologien ënnerstëtzen. Si iwwerwaachen all laanschtgoungen Traffic, ugefaange vun der Datelinkschicht, an entdecken eng breet Palette vun Netzwierkattacken, souwéi onerlaabten Zougang zu Informatioun. Dacks hunn esou Systemer eng verdeelt Architektur a kënne mat verschiddenen aktiven Netzwierkausrüstung interagéieren. Notéiert datt vill modern NIDS Hybrid sinn a verschidde Approche kombinéieren. Ofhängeg vun der Konfiguratioun an Astellunge kënne se verschidde Probleemer léisen - zum Beispill de Schutz vun engem Node oder de ganzen Netz. Zousätzlech goufen d'Funktioune vun IDS fir Workstations vun Anti-Virus Packagen iwwerholl, déi, duerch d'Verbreedung vun Trojaner, déi d'Informatioun klauen, zu multifunktionnelle Firewalls ëmgewandelt hunn, déi och d'Aufgabe léisen fir verdächteg Verkéier z'erkennen an ze blockéieren.
Am Ufank konnt IDS nëmmen Malwareaktivitéit, Port Scanner, oder, soen, Benotzerverstouss géint d'Firma Sécherheetspolitik erkennen. Wann e bestëmmten Event geschitt ass, hunn se den Administrateur informéiert, awer et gouf séier kloer datt d'Attack einfach ze erkennen ass net genuch - et muss blockéiert ginn. Also IDS transforméiert an IPS (Intrusion Prevention Systems) - Intrusion Prevention Systemer déi mat Firewalls interagéiere kënnen.
Detektiounsmethoden
Modern Intrusiounserkennung a Präventiounsléisungen benotze verschidde Methoden fir béiswëlleg Aktivitéiten z'entdecken, déi an dräi Kategorien opgedeelt kënne ginn. Dëst gëtt eis eng aner Optioun fir Systemer ze klassifizéieren:
- Ënnerschrëft-baséiert IDS / IPS sicht Musteren am Traffic oder Monitor System Staat Ännerungen ze entdecken engem Netz Attack oder Infektioun Versuch. Si ginn praktesch keng Fehlfehler a falsch Positiver, awer si kënnen net onbekannt Gefore feststellen;
- Anomalie-detektéierend IDSs benotzen keng Attack Ënnerschrëften. Si erkennen anormalt Verhalen vun Informatiounssystemer (inklusiv Anomalien am Netzverkéier) a kënne souguer onbekannt Attacke erkennen. Esou Systemer ginn zimmlech vill falsch Positiver an, wann se falsch benotzt, paralyséieren d'Operatioun vum lokalen Netzwierk;
- Regel-baséiert IDSs funktionnéieren wéi: wann FAKT dann ACTION. Tatsächlech sinn dëst Expert Systemer mat Wëssensbasen - eng Rei vu Fakten a Regele vun der Inferenz. Esou Léisunge sinn Zäit-opwänneg ze Ariichten an erfuerdert den Administrateur en detailléierte Verständnis vum Netz ze hunn.
Geschicht vun IDS Entwécklung
D'Ära vun der rapider Entwécklung vum Internet a Firmennetzwierker huet an den 90er Joren vum leschte Joerhonnert ugefaang, awer Experten hu sech e bësse méi fréi iwwer fortgeschratt Netzwierkssécherheetstechnologien iwwerrascht. 1986 hunn d'Dorothy Denning an de Peter Neumann den IDES (Intrusion Detection Expert System) Modell publizéiert, deen d'Basis vun de meescht modernen Intrusion Detection Systemer gouf. Si huet en Expert System benotzt fir bekannt Attacken z'identifizéieren, souwéi statistesch Methoden a Benotzer / System Profiler. IDES leeft op Sun Workstations, kontrolléiert Netzwierkverkéier an Uwendungsdaten. Am 1993 gouf NIDES (Next-Generation Intrusion Detection Expert System) verëffentlecht - eng nei Generatioun Intrusion Detection Expert System.
Baséierend op d'Aarbechte vum Denning an Neumann, erschéngt den MIDAS (Multics Intrusion Detection and Alerting System) Expert System am Joer 1988, mat P-BEST a LISP. Zur selwechter Zäit gouf den Haystack-System op statistesche Methoden erstallt. En anere statisteschen Anomalidetektor, W&S (Wäisheet & Sënn), gouf e Joer méi spéit am Los Alamos National Laboratory entwéckelt. D'Entwécklung vun der Industrie ass séier weidergaang. Zum Beispill, am Joer 1990, gouf Anomalie Detektioun schonn am TIM (Time-based inductive machine) System implementéiert mat induktivt Léieren op sequentiell Benotzermuster (Common LISP Sprooch). NSM (Network Security Monitor) verglach Zougangsmatrizen fir Anomalie Detektioun, an ISOA (Information Security Officer's Assistant) ënnerstëtzt verschidde Detektiounsstrategien: statistesch Methoden, Profilprüfung an Expert System. De ComputerWatch System erstallt bei AT & T Bell Labs benotzt souwuel statistesch Methoden wéi och Regele fir d'Verifizéierung, an d'Entwéckler vun der University of California kruten den éischte Prototyp vun engem verdeelt IDS zréck an 1991 - DIDS (Distributed Intrusion Detection System) war och en Expert System.
Am Ufank war IDS propriétaire, awer schonn 1998 den National Laboratory. De Lawrence zu Berkeley huet de Bro verëffentlecht (an 2018 ëmbenannt Zeek), en Open Source System deen seng eege Regelsprooch benotzt fir libpcap Daten ze analyséieren. Am November vum selwechte Joer erschéngt den APE Packet Sniffer mat libpcap, deen e Mount méi spéit ëmbenannt gouf Snort, a spéider zu engem vollwäertege IDS / IPS gouf. Zur selwechter Zäit hunn vill propriétaire Léisungen ugefaang ze erschéngen.
Snort an Suricata
Vill Firmen léiwer gratis an Open Source IDS / IPS. Fir eng laang Zäit gouf de scho genannte Snort als Standardléisung ugesinn, awer elo ass et duerch de Suricata System ersat ginn. Betruecht hir Virdeeler an Nodeeler an e bësse méi Detail. Snort kombinéiert d'Virdeeler vun enger Ënnerschrëftmethod mat Echtzäit Anomalie Detektioun. Suricata erlaabt och aner Methoden nieft Attack Ënnerschrëft Detektioun. De System gouf vun enger Grupp vun Entwéckler erstallt, déi sech vum Snort-Projet ofgeschnidden hunn an IPS-Features zanter Versioun 1.4 ënnerstëtzt, während d'Intrusiounsverhënnerung spéider am Snort erschéngt.
Den Haaptunterschied tëscht den zwee populäre Produkter ass dem Suricata seng Fäegkeet fir d'GPU fir IDS Computing ze benotzen, souwéi déi méi fortgeschratt IPS. De System gouf ursprénglech fir Multi-Threading entworf, während Snort e Single-threaded Produkt ass. Wéinst senger laanger Geschicht a Legacy Code mécht et net optimal Notzung vu Multi-Prozessor / Multi-Core Hardware Plattformen, während Suricata Traffic bis zu 10 Gbps op normalen allgemeng Zweck Computeren handhaben kann. Dir kënnt laang iwwer d'Ähnlechkeeten an d'Ënnerscheeder tëscht deenen zwee Systemer schwätzen, awer och wann de Suricata-Motor méi séier funktionnéiert, fir net ze breet Kanäl ass et egal.
Deployment Optiounen
IPS muss sou plazéiert ginn datt de System d'Netz Segmenter ënner senger Kontroll iwwerwaache kann. Meeschtens ass dëst en dedizéierten Computer, vun deem een Interface no Randgeräter verbënnt a "kuckt" duerch se op onsécher ëffentlech Netzwierker (Internet). Eng aner IPS-Interface ass mam Input vum geschützte Segment verbonne sou datt all Traffic duerch de System passéiert an analyséiert gëtt. A méi komplexe Fäll kënnen et e puer geschützte Segmenter sinn: zum Beispill, a Firmennetzwierker gëtt eng demilitariséierter Zone (DMZ) dacks mat Servicer zougänglech vum Internet zougedeelt.
Sou eng IPS kann Port Scannen oder brute-force Attacke verhënneren, d'Ausbeutung vu Schwachstelle am Mailserver, Webserver oder Skripte, wéi och aner Aarte vun externen Attacken. Wann d'Computeren am lokalen Netz mat Malware infizéiert sinn, erlaabt IDS hinnen net d'Botnet-Server, déi dobausse läit, ze kontaktéieren. Méi sérieux Schutz vun der intern Reseau wäert héchstwahrscheinlech eng komplex Configuratioun mat engem verdeelt System verlaangen an deier geréiert schalt kapabel vun Spigel Traffic fir eng IDS Interface un ee vun de Häfen verbonnen.
Oft Firmennetzwierker ënnerleien verdeelt Denial-of-Service (DDoS) Attacke. Och wann modern IDSs mat hinnen këmmeren, ass d'Deploymentoptioun hei hei vu wéineg Hëllef. De System erkennt béiswëlleg Aktivitéit a blockéiert spurious Traffic, awer dofir mussen d'Päckchen duerch eng extern Internetverbindung goen a seng Netzwierkinterface erreechen. Ofhängeg vun der Intensitéit vum Attack, kann den Datetransmissionskanal net mat der Laascht eens ginn an d'Zil vun den Ugräifer gëtt erreecht. Fir esou Fäll recommandéiere mir IDS op engem virtuelle Server mat enger bekannter besserer Internetverbindung z'installéieren. Dir kënnt de VPS mam lokalen Netzwierk iwwer e VPN verbannen, an da musst Dir de Routing vun all externen Traffic duerch et konfiguréieren. Dann, am Fall vun engem DDoS Attack, musst Dir net Päckchen duerch d'Verbindung mam Provider fueren, se ginn um externen Host blockéiert.
Problem vun der Wiel
Et ass ganz schwéier e Leader ënner gratis Systemer z'identifizéieren. D'Wiel vun IDS / IPS gëtt vun der Netztopologie, déi néideg Schutzfunktiounen, wéi och de perséinleche Virléiften vum Administrateur a säi Wonsch mat den Astellungen ze fiddelen bestëmmt. Snort huet eng méi laang Geschicht an ass besser dokumentéiert, obwuel Informatioun iwwer Suricata och einfach online ze fannen ass. Op alle Fall, fir de System ze beherrschen, musst Dir e puer Efforte maachen, déi schlussendlech bezuelen - kommerziell Hardware an Hardware-Software IDS / IPS sinn zimlech deier an passen net ëmmer an de Budget. Dir sollt d'Zäit net bedaueren, well e gudden Administrateur ëmmer seng Qualifikatiounen op Käschte vum Patron verbessert. An dëser Situatioun gewënnt jiddereen. Am nächsten Artikel wäerte mir e puer Optiounen kucken fir Suricata z'installéieren an de méi modernen System mat dem klassesche IDS / IPS Snort an der Praxis ze vergläichen.
Source: will.com