Kadaise vietiniam tinklui apsaugoti pakako paprastos ugniasienės ir antivirusinių programų, tačiau toks rinkinys nebėra pakankamai efektyvus prieš šiuolaikinių įsilaužėlių atakas ir pastaruoju metu išplitusias kenkėjiškas programas. Sena gera ugniasienė analizuoja tik paketų antraštes, leisdama arba blokuodama jas pagal formalių taisyklių rinkinį. Ji nieko nežino apie paketų turinį, todėl negali atpažinti iš pažiūros teisėtų užpuolikų veiksmų. Antivirusinės programos ne visada pagauna kenkėjiškas programas, todėl administratoriui tenka užduotis stebėti nenormalią veiklą ir laiku izoliuoti užkrėstus šeimininkus.
Yra daug pažangių įrankių, skirtų apsaugoti įmonės IT infrastruktūrą. Šiandien kalbėsime apie atvirojo kodo įsibrovimų aptikimo ir prevencijos sistemas, kurias galima įdiegti neperkant brangios įrangos ir programinės įrangos licencijų.
IDS/IPS klasifikacija
IDS (Intrusion Detection System) – tai sistema, skirta registruoti įtartinus veiksmus tinkle arba atskirame kompiuteryje. Ji veda įvykių žurnalus ir apie juos praneša už informacijos saugą atsakingam darbuotojui. Kaip IDS dalį galima išskirti šiuos elementus:
- jutikliai, skirti peržiūrėti tinklo srautą, įvairius žurnalus ir kt.
- analizės posistemis, identifikuojantis gautuose duomenyse piktybinės įtakos požymius;
- pirminių įvykių ir analizės rezultatų kaupimo saugykla;
- valdymo pultas.
Iš pradžių IDS buvo klasifikuojami pagal vietą: jie galėjo būti skirti apsaugoti atskirus mazgus (pagal pagrindinį kompiuterį arba pagrindinio kompiuterio įsilaužimo aptikimo sistemą – HIDS) arba apsaugoti visą įmonės tinklą (tinklo pagrindu arba tinklo įsilaužimo aptikimo sistema – NIDS). Verta paminėti vadinamąjį APIDS (Application Protocol-based IDS): jie stebi ribotą programos lygio protokolų rinkinį, kad nustatytų konkrečias atakas, ir neatlieka gilios tinklo paketų analizės. Tokie produktai dažniausiai primena tarpinius serverius ir naudojami tam tikroms paslaugoms apsaugoti: žiniatinklio serveriui ir žiniatinklio programoms (pavyzdžiui, parašytoms PHP), duomenų bazių serveriui ir kt. Tipiškas šios klasės pavyzdys yra Apache žiniatinklio serverio mod_security.
Mus labiau domina universalūs NIDS, palaikantys platų ryšio protokolų spektrą ir DPI (Deep Packet Inspection) technologijas. Jie stebi visą praeinantį srautą, pradedant nuo duomenų ryšio sluoksnio, ir aptinka daugybę tinklo atakų, taip pat bandymus neteisėtai pasiekti informaciją. Dažnai tokios sistemos turi paskirstytą architektūrą ir gali sąveikauti su įvairia aktyvia tinklo įranga. Atminkite, kad daugelis šiuolaikinių NIDS yra hibridiniai ir derina kelis metodus. Priklausomai nuo konfigūracijos ir nustatymų, jie gali išspręsti įvairias problemas – pavyzdžiui, apsaugoti vieną mazgą ar visą tinklą. Be to, IDS, skirto darbo stotims, funkcijas perėmė antivirusiniai paketai, kurie, plintant informaciją vogti siekiantiems Trojos arkliams, virto daugiafunkcėmis ugniasienėmis, kurios sprendžia ir įtartino srauto atpažinimo bei blokavimo problemas.
Iš pradžių IDS galėjo aptikti tik kenkėjiškų programų veiklą, prievadų skaitytuvus arba, tarkime, vartotojų pažeidimus įmonės saugumo strategijoje. Įvykus tam tikram įvykiui, jie pranešdavo administratoriui, tačiau greitai paaiškėjo, kad vien atpažinti užpuolimą neužtenka – reikia ją blokuoti. Taigi IDS buvo transformuota į IPS (Intrusion Prevention Systems) – įsibrovimo prevencijos sistemas, galinčias sąveikauti su ugniasienėmis.
Aptikimo metodai
Šiuolaikiniai įsibrovimų aptikimo ir prevencijos sprendimai naudoja įvairius kenkėjiškos veiklos nustatymo metodus, kuriuos galima suskirstyti į tris kategorijas. Tai suteikia mums kitą sistemų klasifikavimo galimybę:
- Parašais pagrįstas IDS/IPS aptinka srauto modelius arba stebi sistemų būsenos pokyčius, kad nustatytų tinklo ataką arba bandymą užkrėsti. Jie praktiškai nesuteikia uždegimo pertrūkių ir klaidingų teigiamų rezultatų, tačiau nesugeba nustatyti nežinomų grėsmių;
- Anomalijų aptikimo IDS nenaudoja atakos parašų. Jie atpažįsta neįprastą informacinių sistemų elgesį (įskaitant tinklo srauto anomalijas) ir netgi gali aptikti nežinomas atakas. Tokios sistemos duoda gana daug klaidingų teigiamų rezultatų ir, jei naudojamos neteisingai, paralyžiuoja vietinio tinklo veikimą;
- Taisyklėmis pagrįstos IDS veikia principu: jei FAKTAS, tada VEIKSMAS. Iš esmės tai yra ekspertinės sistemos su žinių bazėmis – faktų rinkiniu ir loginių išvadų taisyklėmis. Tokie sprendimai reikalauja daug darbo sąrankos ir reikalauja, kad administratorius išsamiai išmanytų tinklą.
IDS kūrimo istorija
Spartaus interneto ir įmonių tinklų plėtros era prasidėjo praėjusio amžiaus 90-aisiais, tačiau ekspertus kiek anksčiau suglumino pažangios tinklo saugumo technologijos. 1986 metais Dorothy Denning ir Peteris Neumannas paskelbė IDES (Intrusion detection expert system) modelį, kuris tapo daugelio šiuolaikinių įsibrovimų aptikimo sistemų pagrindu. Jis naudojo ekspertinę sistemą, kad nustatytų žinomus atakų tipus, taip pat statistinius metodus ir vartotojo / sistemos profilius. IDES veikė „Sun“ darbo stotyse, tikrindamas tinklo srautą ir taikomųjų programų duomenis. 1993 metais buvo išleista NIDES (Next-generation Intrusion Detection Expert System) – naujos kartos įsibrovimų aptikimo ekspertų sistema.
Remiantis Denningo ir Neumanno darbais, 1988 m. pasirodė MIDAS (Multics intrusion detection and alerting system) ekspertų sistema, naudojanti P-BEST ir LISP. Kartu buvo sukurta statistiniais metodais pagrįsta „Haystack“ sistema. Kitas statistinių anomalijų detektorius W&S (Wisdom & Sense) buvo sukurtas po metų Los Alamos nacionalinėje laboratorijoje. Pramonė vystėsi sparčiai. Pavyzdžiui, 1990 m. TIM (Time-based inductive machine) sistema jau įdiegė anomalijų aptikimą, naudodama indukcinį mokymąsi pagal nuoseklius vartotojo modelius (bendra LISP kalba). NSM (Network Security Monitor) palygino prieigos matricas, kad nustatytų anomalijas, o ISOA (Informacijos saugumo pareigūno padėjėjas) palaikė įvairias aptikimo strategijas: statistinius metodus, profilio tikrinimą ir ekspertų sistemą. „AT&T Bell Labs“ sukurta „ComputerWatch“ sistema naudojo statistinius patikrinimo metodus ir taisykles, o Kalifornijos universiteto kūrėjai dar 1991 metais gavo pirmąjį paskirstyto IDS prototipą – DIDS (Distributed Intrusion Detection System) taip pat buvo ekspertų sistema.
Iš pradžių IDS buvo nuosavybė, bet jau 1998 m. – Nacionalinė laboratorija. Lawrence'as Berkeley išleido „Bro“ (2018 m. pervadintas „Zeek“) – atvirojo kodo sistemą, kuri naudoja patentuotą taisyklių kalbą libpcap duomenims analizuoti. Tų pačių metų lapkritį pasirodė APE paketų sniffer naudojant libpcap, kuris po mėnesio buvo pervadintas į Snort, o vėliau tapo visaverčiu IDS/IPS. Tuo pačiu metu atsirado daugybė patentuotų sprendimų.
Snort ir Suricata
Daugelis įmonių teikia pirmenybę nemokamam ir atvirojo kodo IDS/IPS. Jau minėtas „Snort“ ilgą laiką buvo laikomas standartiniu sprendimu, tačiau dabar jį išstūmė „Suricata“ sistema. Pažvelkime į jų privalumus ir trūkumus šiek tiek išsamiau. „Snort“ sujungia parašu pagrįsto metodo privalumus ir galimybę aptikti anomalijas realiuoju laiku. Suricata taip pat leidžia naudoti kitus metodus, ne tik atpažinti atakas pagal parašus. Sistemą sukūrė nuo Snort projekto atsiskyrusi kūrėjų grupė ir palaiko IPS funkcijas nuo 1.4 versijos, o Snort pristatė galimybę vėliau apsisaugoti nuo įsibrovimų.
Pagrindinis skirtumas tarp dviejų populiarių produktų yra „Suricata“ galimybė naudoti GPU skaičiavimą IDS režimu, taip pat pažangesnę IPS. Sistema iš pradžių sukurta kelių sriegių sriegimui, o „Snort“ yra vieno sriegio gaminys. Dėl savo ilgos istorijos ir seno kodo ji optimaliai nenaudoja kelių procesorių / kelių branduolių aparatinės įrangos platformų, o „Suricata“ gali apdoroti srautą iki 10 Gbps įprastuose bendrosios paskirties kompiuteriuose. Apie abiejų sistemų panašumus ir skirtumus galime kalbėti ilgai, tačiau nors Suricata variklis veikia greičiau, ne per platiems kanalams tai neturi esminės reikšmės.
Diegimo parinktys
IPS turi būti įrengtas taip, kad sistema galėtų stebėti jos valdomus tinklo segmentus. Dažniausiai tai yra dedikuotas kompiuteris, kurio viena sąsaja yra prijungta po kraštinių įrenginių ir per juos „žiūri“ į neapsaugotus viešuosius tinklus (internetą). Kita IPS sąsaja yra prijungta prie apsaugoto segmento įvesties, kad visas srautas praeitų per sistemą ir būtų analizuojamas. Sudėtingesniais atvejais gali būti keli saugomi segmentai: pavyzdžiui, įmonių tinkluose dažnai priskiriama demilitarizuota zona (DMZ) su paslaugomis, pasiekiamomis iš interneto.
Toks IPS gali užkirsti kelią prievadų nuskaitymui ar slaptažodžių brutalios jėgos atakoms, pašto serverio, žiniatinklio serverio ar scenarijų pažeidžiamumui išnaudoti, taip pat kitų tipų išorinėms atakoms. Jei vietinio tinklo kompiuteriai yra užkrėsti kenkėjiška programa, IDS neleis jiems susisiekti su už jos ribų esančiais botnet serveriais. Norint rimčiau apsaugoti vidinį tinklą, greičiausiai reikės sudėtingos konfigūracijos su paskirstyta sistema ir brangiais valdomais komutatoriais, galinčiais atspindėti srautą IDS sąsajai, prijungtai prie vieno iš prievadų.
Įmonių tinklai dažnai patiria paskirstytų paslaugų atsisakymo (DDoS) atakas. Nors šiuolaikinė IDS gali su jais susidoroti, aukščiau pateikta diegimo parinktis greičiausiai nepadės. Sistema atpažins kenkėjišką veiklą ir blokuos netikrą srautą, tačiau tam paketai turi pereiti išorinį interneto ryšį ir pasiekti jo tinklo sąsają. Priklausomai nuo atakos intensyvumo, duomenų perdavimo kanalas gali neatlaikyti apkrovos ir užpuolikų tikslas bus pasiektas. Tokiais atvejais rekomenduojame įdiegti IDS virtualiame serveryje su akivaizdžiai galingesniu interneto ryšiu. Galite prijungti VPS prie vietinio tinklo per VPN, tada turėsite sukonfigūruoti viso išorinio srauto nukreipimą per jį. Tada, DDoS atakos atveju, jums nereikės siųsti paketų per ryšį su teikėju, jie bus užblokuoti išoriniame mazge.
Pasirinkimo problema
Tarp nemokamų sistemų lyderį nustatyti labai sunku. IDS/IPS pasirinkimą lemia tinklo topologija, reikalingos saugos funkcijos, taip pat asmeninės administratoriaus nuostatos ir jo noras keisti nustatymus. Snort turi ilgesnę istoriją ir yra geriau dokumentuota, nors informaciją apie Suricata taip pat lengva rasti internete. Bet kokiu atveju, norint įvaldyti sistemą, teks įdėti tam tikrų pastangų, kurios ilgainiui atsipirks – komercinė techninė ir techninė-programinė įranga IDS/IPS yra gana brangi ir ne visada telpa į biudžetą. Nėra prasmės gailėtis sugaišto laiko, nes geras administratorius visada tobulina savo įgūdžius darbdavio sąskaita. Šioje situacijoje visi laimi. Kitame straipsnyje apžvelgsime kai kurias Suricata diegimo parinktis ir praktiškai palyginsime modernesnę sistemą su klasikine IDS/IPS Snort.
Šaltinis: www.habr.com