ProHoster > Blogs > Administrācija > Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Kādreiz lokālā tÄ«kla aizsardzÄ«bai pietika ar parastu ugunsmÅ«ri un pretvÄ«rusu programmām, taču Ŕāds komplekts vairs nav pietiekami efektÄ«vs pret mÅ«sdienu hakeru uzbrukumiem un pēdējā laikā izplatÄ«juŔās ļaunprogrammatÅ«ras. Vecais labais ugunsmÅ«ris analizē tikai pakeÅ”u galvenes, nododot tās vai bloķējot tās saskaņā ar formālu noteikumu kopumu. Tas neko nezina par paku saturu un tāpēc nevar atpazÄ«t iebrucēju ārēji likumÄ«gās darbÄ«bas. PretvÄ«rusu programmas ne vienmēr tver ļaunprogrammatÅ«ru, tāpēc administrators saskaras ar uzdevumu uzraudzÄ«t anomālu darbÄ«bu un laikus izolēt inficētos saimniekus.

Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Ir daudz progresÄ«vu rÄ«ku, kas ļauj aizsargāt uzņēmuma IT infrastruktÅ«ru. Å odien mēs runāsim par atvērtā koda ielauÅ”anās atklāŔanas un novērÅ”anas sistēmām, kuras var ieviest, nepērkot dārgas aparatÅ«ras un programmatÅ«ras licences.

IDS/IPS klasifikācija

IDS (Intrusion Detection System) ir sistēma, kas paredzēta aizdomÄ«gu darbÄ«bu reÄ£istrÄ“Å”anai tÄ«klā vai atseviŔķā datorā. Tas uztur notikumu žurnālus un informē par tiem personu, kas ir atbildÄ«ga par informācijas droŔību. IDS ietver Ŕādus elementus:

  • sensori tÄ«kla trafika, dažādu žurnālu u.c. apskatei. 
  • analÄ«zes apakÅ”sistēma, kas uztver kaitÄ«gās ietekmes pazÄ«mes saņemtajos datos;
  • primāro notikumu un analÄ«zes rezultātu uzkrāŔanas glabāŔana;
  • vadÄ«bas konsole.

Sākotnēji IDS tika klasificēti pēc atraÅ”anās vietas: tie varēja bÅ«t vērsti uz atseviŔķu mezglu aizsardzÄ«bu (uz resursdatora bāzes vai resursdatora ielauÅ”anās noteikÅ”anas sistēma ā€” HIDS) vai visa korporatÄ«vā tÄ«kla aizsardzÄ«bu (uz tÄ«klu balstÄ«ta vai tÄ«kla ielauÅ”anās noteikÅ”anas sistēma ā€” NIDS). Ir vērts pieminēt t.s. APIDS (uz lietojumprogrammu protokoliem balstÄ«tas IDS): tie uzrauga ierobežotu lietojumprogrammu slāņa protokolu kopu, lai noteiktu konkrētus uzbrukumus, un neanalizē tÄ«kla paketes. Šādi produkti parasti atgādina starpniekserverus un tiek izmantoti konkrētu pakalpojumu aizsardzÄ«bai: tÄ«mekļa serveris un tÄ«mekļa lietojumprogrammas (piemēram, rakstÄ«tas PHP), datu bāzes serveri utt. Tipisks Ŕīs klases pārstāvis ir mod_security Apache tÄ«mekļa serverim.

MÅ«s vairāk interesē universālie NIDS, kas atbalsta plaÅ”u sakaru protokolu klāstu un DPI (Deep Packet Inspection) pakeÅ”u analÄ«zes tehnoloÄ£ijas. Tie uzrauga visu caurejoÅ”o trafiku, sākot no datu saites slāņa, un atklāj plaÅ”u tÄ«kla uzbrukumu klāstu, kā arÄ« nesankcionētu piekļuvi informācijai. Bieži vien Ŕādām sistēmām ir sadalÄ«ta arhitektÅ«ra un tās var mijiedarboties ar dažādām aktÄ«vām tÄ«kla iekārtām. Ņemiet vērā, ka daudzi mÅ«sdienu NIDS ir hibrÄ«di un apvieno vairākas pieejas. AtkarÄ«bā no konfigurācijas un iestatÄ«jumiem tie var atrisināt dažādas problēmas - piemēram, aizsargāt vienu mezglu vai visu tÄ«klu. Turklāt IDS funkcijas darbstacijām pārņēma pretvÄ«rusu pakotnes, kas, izplatoties uz informācijas zagÅ”anu vērstajiem Trojas zirgiem, pārvērtās par daudzfunkcionāliem ugunsmÅ«riem, kas atrisina arÄ« aizdomÄ«gas trafika atpazÄ«Å”anas un bloÄ·Ä“Å”anas uzdevumus.

Sākotnēji IDS varēja atklāt tikai ļaunprātÄ«gas programmatÅ«ras darbÄ«bu, portu skenerus vai, teiksim, lietotāju korporatÄ«vās droŔības politikas pārkāpumus. Kad notika konkrēts notikums, viņi par to ziņoja administratoram, taču ātri kļuva skaidrs, ka ar uzbrukuma atpazÄ«Å”anu vien nepietiek ā€“ tas ir jābloķē. Tātad IDS pārveidots par IPS (IelauÅ”anās novērÅ”anas sistēmām) - ielauÅ”anās novērÅ”anas sistēmām, kas var mijiedarboties ar ugunsmÅ«riem.

AtklāŔanas metodes

MÅ«sdienu ielauÅ”anās atklāŔanas un novērÅ”anas risinājumos ļaunprātÄ«gas darbÄ«bas noteikÅ”anai tiek izmantotas dažādas metodes, kuras var iedalÄ«t trÄ«s kategorijās. Tas dod mums citu iespēju sistēmu klasificÄ“Å”anai:

  • Uz parakstiem balstÄ«ts IDS/IPS meklē trafika modeļus vai pārrauga sistēmas stāvokļa izmaiņas, lai noteiktu tÄ«kla uzbrukumu vai inficÄ“Å”anās mēģinājumu. Tie praktiski nedod aizdedzes izlaidumus un viltus pozitÄ«vus rezultātus, bet nespēj identificēt nezināmus draudus;
  • Anomāliju noteikÅ”anas IDS neizmanto uzbrukuma parakstus. Tie atpazÄ«st informācijas sistēmu neparastu uzvedÄ«bu (tostarp tÄ«kla trafika anomālijas) un var atklāt pat nezināmus uzbrukumus. Šādas sistēmas dod diezgan daudz viltus pozitÄ«vu un, ja tās tiek izmantotas nepareizi, paralizē lokālā tÄ«kla darbÄ«bu;
  • Uz kārtulām balstÄ«ti IDS darbojas Ŕādi: ja FACT, tad ACTION. Faktiski tās ir ekspertu sistēmas ar zināŔanu bāzēm ā€“ faktu un secinājumu noteikumu kopumu. Šādu risinājumu iestatÄ«Å”ana ir laikietilpÄ«ga, un administratoram ir nepiecieÅ”ama detalizēta izpratne par tÄ«klu. 

IDS attīstības vēsture

Interneta un korporatÄ«vo tÄ«klu straujās attÄ«stÄ«bas laikmets aizsākās pagājuŔā gadsimta 90. gados, tomēr eksperti par progresÄ«vām tÄ«kla droŔības tehnoloÄ£ijām bija neizpratnē nedaudz agrāk. 1986. gadā Dorothy Denning un Peter Neumann publicēja IDES (IelauÅ”anās atklāŔanas ekspertu sistēma) modeli, kas kļuva par pamatu vismodernākajām ielauÅ”anās atklāŔanas sistēmām. Viņa izmantoja ekspertu sistēmu, lai identificētu zināmos uzbrukumus, kā arÄ« statistikas metodes un lietotāju/sistēmas profilus. IDES darbojās Sun darbstacijās, pārbaudot tÄ«kla trafiku un lietojumprogrammu datus. 1993. gadā tika izlaista NIDES (Next-generation Intrusion Detection Expert System) - jaunas paaudzes ielauÅ”anās atklāŔanas ekspertu sistēma.

Balstoties uz Deninga un Neimana darbu, MIDAS (Multics intrusion detection and alerting system) ekspertu sistēma parādÄ«jās 1988. gadā, izmantojot P-BEST un LISP. Tajā paŔā laikā tika izveidota sistēma Haystack, kuras pamatā ir statistikas metodes. Vēl viens statistisko anomāliju detektors W&S (Wisdom & Sense) tika izstrādāts gadu vēlāk Losalamos Nacionālajā laboratorijā. Nozares attÄ«stÄ«ba noritēja straujā tempā. Piemēram, 1990. gadā TIM (Time-based inductive machine) sistēma jau ieviesa anomāliju noteikÅ”anu, izmantojot induktÄ«vo mācÄ«Å”anos pēc secÄ«giem lietotāju modeļiem (Common LISP valoda). NSM (Network Security Monitor) salÄ«dzināja piekļuves matricas anomāliju noteikÅ”anai, un ISOA (Informācijas droŔības speciālista palÄ«gs) atbalstÄ«ja dažādas noteikÅ”anas stratēģijas: statistikas metodes, profila pārbaudi un ekspertu sistēmu. AT&T Bell Labs izveidotajā ComputerWatch sistēmā verifikācijai tika izmantotas gan statistikas metodes, gan noteikumi, un Kalifornijas Universitātes izstrādātāji pirmo izplatÄ«tā IDS prototipu saņēma jau 1991. gadā - DIDS (Distributed intrusion detection system) bija arÄ« ekspertu sistēma.

Sākumā IDS bija patentētas, bet jau 1998. gadā Nacionālā laboratorija. Lorenss Bērklijā izlaida Bro (2018. gadā pārdēvēts par Zeek) ā€” atvērtā pirmkoda sistēmu, kas izmanto savu noteikumu valodu libpcap datu parsÄ“Å”anai. Tā paÅ”a gada novembrÄ« parādÄ«jās APE pakeÅ”u sniffer, izmantojot libpcap, kas mēnesi vēlāk tika pārdēvēts par Snort un vēlāk kļuva par pilntiesÄ«gu IDS / IPS. Tajā paŔā laikā sāka parādÄ«ties daudzi patentēti risinājumi.

Snort un Suricata

Daudzi uzņēmumi dod priekÅ”roku bezmaksas un atvērtā koda IDS/IPS. Jau pieminētais Snort ilgu laiku tika uzskatÄ«ts par standarta risinājumu, taču tagad to nomainÄ«jusi Suricata sistēma. Apsveriet to priekÅ”rocÄ«bas un trÅ«kumus nedaudz sÄ«kāk. Snort apvieno paraksta metodes priekÅ”rocÄ«bas ar anomāliju noteikÅ”anu reāllaikā. Suricata nodroÅ”ina arÄ« citas metodes, izņemot uzbrukuma parakstu noteikÅ”anu. Sistēmu izveidoja izstrādātāju grupa, kas atdalÄ«jās no Snort projekta un atbalsta IPS funkcijas kopÅ” versijas 1.4, savukārt ielauÅ”anās novērÅ”ana Snort parādÄ«jās vēlāk.

Galvenā atŔķirÄ«ba starp diviem populārajiem produktiem ir Suricata spēja izmantot GPU IDS skaitļoÅ”anai, kā arÄ« uzlaboto IPS. Sistēma sākotnēji bija paredzēta vairāku vÄ«tņu izveidoÅ”anai, savukārt Snort ir viena vÄ«tnes produkts. Savas garās vēstures un mantotā koda dēļ tā optimāli neizmanto daudzprocesoru/daudzkodolu aparatÅ«ras platformas, savukārt Suricata var apstrādāt trafiku lÄ«dz 10 Gb/s parastos vispārējas nozÄ«mes datoros. Par abu sistēmu lÄ«dzÄ«bām un atŔķirÄ«bām var runāt ilgi, taču, lai arÄ« Suricata dzinējs darbojas ātrāk, ne pārāk plaÅ”iem kanāliem tam nav nozÄ«mes.

IzvietoÅ”anas iespējas

IPS ir jānovieto tā, lai sistēma varētu uzraudzÄ«t tās kontrolē esoÅ”os tÄ«kla segmentus. Visbiežāk tas ir speciāls dators, kura viens interfeiss savienojas pēc malas ierÄ«cēm un caur tām ā€œskatāsā€ uz nenodroÅ”inātiem publiskajiem tÄ«kliem (internetu). Cits IPS interfeiss ir savienots ar aizsargātā segmenta ieeju, lai visa trafika izietu caur sistēmu un tiktu analizēta. Sarežģītākos gadÄ«jumos var bÅ«t vairāki aizsargāti segmenti: piemēram, korporatÄ«vajos tÄ«klos bieži tiek iedalÄ«ta demilitarizēta zona (DMZ) ar pakalpojumiem, kas pieejami no interneta.

Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Šāds IPS var novērst portu skenÄ“Å”anu vai brutālu spēku uzbrukumus, pasta servera, tÄ«mekļa servera vai skriptu ievainojamÄ«bu izmantoÅ”anu, kā arÄ« cita veida ārējos uzbrukumus. Ja datori lokālajā tÄ«klā ir inficēti ar ļaunprātÄ«gu programmatÅ«ru, IDS neļaus tiem sazināties ar robottÄ«kla serveriem, kas atrodas ārpusē. Nopietnākai iekŔējā tÄ«kla aizsardzÄ«bai, visticamāk, bÅ«s nepiecieÅ”ama sarežģīta konfigurācija ar sadalÄ«tu sistēmu un dārgiem pārvaldÄ«tiem slēdžiem, kas spēj atspoguļot trafiku IDS interfeisam, kas savienots ar kādu no portiem.

Bieži vien korporatÄ«vie tÄ«kli tiek pakļauti izplatÄ«tiem pakalpojumu atteikuma (DDoS) uzbrukumiem. Lai gan mÅ«sdienu IDS var tikt galā ar tiem, iepriekÅ” minētā izvietoÅ”anas iespēja Å”eit maz palÄ«dz. Sistēma atpazÄ«st ļaunprātÄ«gu darbÄ«bu un bloķē viltus trafiku, taču Å”im nolÅ«kam paketēm ir jāiet cauri ārējam interneta savienojumam un jāsasniedz tā tÄ«kla saskarne. AtkarÄ«bā no uzbrukuma intensitātes datu pārraides kanāls var netikt galā ar slodzi un uzbrucēju mērÄ·is tiks sasniegts. Šādos gadÄ«jumos mēs iesakām izvietot IDS virtuālajā serverÄ« ar zināmu labāku interneta savienojumu. Varat savienot VPS ar vietējo tÄ«klu, izmantojot VPN, un pēc tam jums bÅ«s jākonfigurē visas ārējās trafika marÅ”rutÄ“Å”ana caur to. Tad DDoS uzbrukuma gadÄ«jumā jums nebÅ«s jāvada paketes, izmantojot savienojumu ar pakalpojumu sniedzēju, tās tiks bloķētas ārējā resursdatorā.

Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Izvēles problēma

Starp brÄ«vajām sistēmām ir ļoti grÅ«ti noteikt lÄ«deri. IDS / IPS izvēli nosaka tÄ«kla topoloÄ£ija, nepiecieÅ”amās aizsardzÄ«bas funkcijas, kā arÄ« administratora personÄ«gās preferences un viņa vēlme Ä·erties pie iestatÄ«jumiem. Snort ir garāka vēsture, un tas ir labāk dokumentēts, lai gan informāciju par Suricata ir viegli atrast arÄ« tieÅ”saistē. Jebkurā gadÄ«jumā, lai apgÅ«tu sistēmu, jums bÅ«s jāpieliek pÅ«les, kas galu galā atmaksāsies - komerciālā aparatÅ«ra un aparatÅ«ras-programmatÅ«ra IDS / IPS ir diezgan dārgas un ne vienmēr iekļaujas budžetā. Nevajadzētu nožēlot iztērēto laiku, jo labs administrators vienmēr paaugstina savu kvalifikāciju uz darba devēja rēķina. Å ajā situācijā visi uzvar. Nākamajā rakstā apskatÄ«sim dažas Suricata izvietoÅ”anas iespējas un praksē salÄ«dzināsim modernāko sistēmu ar klasisko IDS/IPS Snort.

Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Snort vai Suricata. 1. daļa: Bezmaksas IDS/IPS izvēle korporatÄ«vā tÄ«kla aizsardzÄ«bai

Avots: www.habr.com

Pievieno komentāru