KÄdreiz lokÄlÄ tÄ«kla aizsardzÄ«bai pietika ar parastu ugunsmÅ«ri un pretvÄ«rusu programmÄm, taÄu Å”Äds komplekts vairs nav pietiekami efektÄ«vs pret mÅ«sdienu hakeru uzbrukumiem un pÄdÄjÄ laikÄ izplatÄ«juÅ”Äs ļaunprogrammatÅ«ras. Vecais labais ugunsmÅ«ris analizÄ tikai pakeÅ”u galvenes, nododot tÄs vai bloÄ·Äjot tÄs saskaÅÄ ar formÄlu noteikumu kopumu. Tas neko nezina par paku saturu un tÄpÄc nevar atpazÄ«t iebrucÄju ÄrÄji likumÄ«gÄs darbÄ«bas. PretvÄ«rusu programmas ne vienmÄr tver ļaunprogrammatÅ«ru, tÄpÄc administrators saskaras ar uzdevumu uzraudzÄ«t anomÄlu darbÄ«bu un laikus izolÄt inficÄtos saimniekus.
Ir daudz progresÄ«vu rÄ«ku, kas ļauj aizsargÄt uzÅÄmuma IT infrastruktÅ«ru. Å odien mÄs runÄsim par atvÄrtÄ koda ielauÅ”anÄs atklÄÅ”anas un novÄrÅ”anas sistÄmÄm, kuras var ieviest, nepÄrkot dÄrgas aparatÅ«ras un programmatÅ«ras licences.
IDS/IPS klasifikÄcija
IDS (Intrusion Detection System) ir sistÄma, kas paredzÄta aizdomÄ«gu darbÄ«bu reÄ£istrÄÅ”anai tÄ«klÄ vai atseviÅ”Ä·Ä datorÄ. Tas uztur notikumu žurnÄlus un informÄ par tiem personu, kas ir atbildÄ«ga par informÄcijas droŔību. IDS ietver Å”Ädus elementus:
- sensori tÄ«kla trafika, dažÄdu žurnÄlu u.c. apskatei.
- analÄ«zes apakÅ”sistÄma, kas uztver kaitÄ«gÄs ietekmes pazÄ«mes saÅemtajos datos;
- primÄro notikumu un analÄ«zes rezultÄtu uzkrÄÅ”anas glabÄÅ”ana;
- vadības konsole.
SÄkotnÄji IDS tika klasificÄti pÄc atraÅ”anÄs vietas: tie varÄja bÅ«t vÄrsti uz atseviŔķu mezglu aizsardzÄ«bu (uz resursdatora bÄzes vai resursdatora ielauÅ”anÄs noteikÅ”anas sistÄma ā HIDS) vai visa korporatÄ«vÄ tÄ«kla aizsardzÄ«bu (uz tÄ«klu balstÄ«ta vai tÄ«kla ielauÅ”anÄs noteikÅ”anas sistÄma ā NIDS). Ir vÄrts pieminÄt t.s. APIDS (uz lietojumprogrammu protokoliem balstÄ«tas IDS): tie uzrauga ierobežotu lietojumprogrammu slÄÅa protokolu kopu, lai noteiktu konkrÄtus uzbrukumus, un neanalizÄ tÄ«kla paketes. Å Ädi produkti parasti atgÄdina starpniekserverus un tiek izmantoti konkrÄtu pakalpojumu aizsardzÄ«bai: tÄ«mekļa serveris un tÄ«mekļa lietojumprogrammas (piemÄram, rakstÄ«tas PHP), datu bÄzes serveri utt. Tipisks Ŕīs klases pÄrstÄvis ir mod_security Apache tÄ«mekļa serverim.
MÅ«s vairÄk interesÄ universÄlie NIDS, kas atbalsta plaÅ”u sakaru protokolu klÄstu un DPI (Deep Packet Inspection) pakeÅ”u analÄ«zes tehnoloÄ£ijas. Tie uzrauga visu caurejoÅ”o trafiku, sÄkot no datu saites slÄÅa, un atklÄj plaÅ”u tÄ«kla uzbrukumu klÄstu, kÄ arÄ« nesankcionÄtu piekļuvi informÄcijai. Bieži vien Å”ÄdÄm sistÄmÄm ir sadalÄ«ta arhitektÅ«ra un tÄs var mijiedarboties ar dažÄdÄm aktÄ«vÄm tÄ«kla iekÄrtÄm. Å emiet vÄrÄ, ka daudzi mÅ«sdienu NIDS ir hibrÄ«di un apvieno vairÄkas pieejas. AtkarÄ«bÄ no konfigurÄcijas un iestatÄ«jumiem tie var atrisinÄt dažÄdas problÄmas - piemÄram, aizsargÄt vienu mezglu vai visu tÄ«klu. TurklÄt IDS funkcijas darbstacijÄm pÄrÅÄma pretvÄ«rusu pakotnes, kas, izplatoties uz informÄcijas zagÅ”anu vÄrstajiem Trojas zirgiem, pÄrvÄrtÄs par daudzfunkcionÄliem ugunsmÅ«riem, kas atrisina arÄ« aizdomÄ«gas trafika atpazÄ«Å”anas un bloÄ·ÄÅ”anas uzdevumus.
SÄkotnÄji IDS varÄja atklÄt tikai ļaunprÄtÄ«gas programmatÅ«ras darbÄ«bu, portu skenerus vai, teiksim, lietotÄju korporatÄ«vÄs droŔības politikas pÄrkÄpumus. Kad notika konkrÄts notikums, viÅi par to ziÅoja administratoram, taÄu Ätri kļuva skaidrs, ka ar uzbrukuma atpazÄ«Å”anu vien nepietiek ā tas ir jÄbloÄ·Ä. TÄtad IDS pÄrveidots par IPS (IelauÅ”anÄs novÄrÅ”anas sistÄmÄm) - ielauÅ”anÄs novÄrÅ”anas sistÄmÄm, kas var mijiedarboties ar ugunsmÅ«riem.
AtklÄÅ”anas metodes
MÅ«sdienu ielauÅ”anÄs atklÄÅ”anas un novÄrÅ”anas risinÄjumos ļaunprÄtÄ«gas darbÄ«bas noteikÅ”anai tiek izmantotas dažÄdas metodes, kuras var iedalÄ«t trÄ«s kategorijÄs. Tas dod mums citu iespÄju sistÄmu klasificÄÅ”anai:
- Uz parakstiem balstÄ«ts IDS/IPS meklÄ trafika modeļus vai pÄrrauga sistÄmas stÄvokļa izmaiÅas, lai noteiktu tÄ«kla uzbrukumu vai inficÄÅ”anÄs mÄÄ£inÄjumu. Tie praktiski nedod aizdedzes izlaidumus un viltus pozitÄ«vus rezultÄtus, bet nespÄj identificÄt nezinÄmus draudus;
- AnomÄliju noteikÅ”anas IDS neizmanto uzbrukuma parakstus. Tie atpazÄ«st informÄcijas sistÄmu neparastu uzvedÄ«bu (tostarp tÄ«kla trafika anomÄlijas) un var atklÄt pat nezinÄmus uzbrukumus. Å Ädas sistÄmas dod diezgan daudz viltus pozitÄ«vu un, ja tÄs tiek izmantotas nepareizi, paralizÄ lokÄlÄ tÄ«kla darbÄ«bu;
- Uz kÄrtulÄm balstÄ«ti IDS darbojas Å”Ädi: ja FACT, tad ACTION. Faktiski tÄs ir ekspertu sistÄmas ar zinÄÅ”anu bÄzÄm ā faktu un secinÄjumu noteikumu kopumu. Å Ädu risinÄjumu iestatÄ«Å”ana ir laikietilpÄ«ga, un administratoram ir nepiecieÅ”ama detalizÄta izpratne par tÄ«klu.
IDS attÄ«stÄ«bas vÄsture
Interneta un korporatÄ«vo tÄ«klu straujÄs attÄ«stÄ«bas laikmets aizsÄkÄs pagÄjuÅ”Ä gadsimta 90. gados, tomÄr eksperti par progresÄ«vÄm tÄ«kla droŔības tehnoloÄ£ijÄm bija neizpratnÄ nedaudz agrÄk. 1986. gadÄ Dorothy Denning un Peter Neumann publicÄja IDES (IelauÅ”anÄs atklÄÅ”anas ekspertu sistÄma) modeli, kas kļuva par pamatu vismodernÄkajÄm ielauÅ”anÄs atklÄÅ”anas sistÄmÄm. ViÅa izmantoja ekspertu sistÄmu, lai identificÄtu zinÄmos uzbrukumus, kÄ arÄ« statistikas metodes un lietotÄju/sistÄmas profilus. IDES darbojÄs Sun darbstacijÄs, pÄrbaudot tÄ«kla trafiku un lietojumprogrammu datus. 1993. gadÄ tika izlaista NIDES (Next-generation Intrusion Detection Expert System) - jaunas paaudzes ielauÅ”anÄs atklÄÅ”anas ekspertu sistÄma.
Balstoties uz Deninga un Neimana darbu, MIDAS (Multics intrusion detection and alerting system) ekspertu sistÄma parÄdÄ«jÄs 1988. gadÄ, izmantojot P-BEST un LISP. TajÄ paÅ”Ä laikÄ tika izveidota sistÄma Haystack, kuras pamatÄ ir statistikas metodes. VÄl viens statistisko anomÄliju detektors W&S (Wisdom & Sense) tika izstrÄdÄts gadu vÄlÄk Losalamos NacionÄlajÄ laboratorijÄ. Nozares attÄ«stÄ«ba noritÄja straujÄ tempÄ. PiemÄram, 1990. gadÄ TIM (Time-based inductive machine) sistÄma jau ieviesa anomÄliju noteikÅ”anu, izmantojot induktÄ«vo mÄcÄ«Å”anos pÄc secÄ«giem lietotÄju modeļiem (Common LISP valoda). NSM (Network Security Monitor) salÄ«dzinÄja piekļuves matricas anomÄliju noteikÅ”anai, un ISOA (InformÄcijas droŔības speciÄlista palÄ«gs) atbalstÄ«ja dažÄdas noteikÅ”anas stratÄÄ£ijas: statistikas metodes, profila pÄrbaudi un ekspertu sistÄmu. AT&T Bell Labs izveidotajÄ ComputerWatch sistÄmÄ verifikÄcijai tika izmantotas gan statistikas metodes, gan noteikumi, un Kalifornijas UniversitÄtes izstrÄdÄtÄji pirmo izplatÄ«tÄ IDS prototipu saÅÄma jau 1991. gadÄ - DIDS (Distributed intrusion detection system) bija arÄ« ekspertu sistÄma.
SÄkumÄ IDS bija patentÄtas, bet jau 1998. gadÄ NacionÄlÄ laboratorija. Lorenss BÄrklijÄ izlaida Bro (2018. gadÄ pÄrdÄvÄts par Zeek) ā atvÄrtÄ pirmkoda sistÄmu, kas izmanto savu noteikumu valodu libpcap datu parsÄÅ”anai. TÄ paÅ”a gada novembrÄ« parÄdÄ«jÄs APE pakeÅ”u sniffer, izmantojot libpcap, kas mÄnesi vÄlÄk tika pÄrdÄvÄts par Snort un vÄlÄk kļuva par pilntiesÄ«gu IDS / IPS. TajÄ paÅ”Ä laikÄ sÄka parÄdÄ«ties daudzi patentÄti risinÄjumi.
Snort un Suricata
Daudzi uzÅÄmumi dod priekÅ”roku bezmaksas un atvÄrtÄ koda IDS/IPS. Jau pieminÄtais Snort ilgu laiku tika uzskatÄ«ts par standarta risinÄjumu, taÄu tagad to nomainÄ«jusi Suricata sistÄma. Apsveriet to priekÅ”rocÄ«bas un trÅ«kumus nedaudz sÄ«kÄk. Snort apvieno paraksta metodes priekÅ”rocÄ«bas ar anomÄliju noteikÅ”anu reÄllaikÄ. Suricata nodroÅ”ina arÄ« citas metodes, izÅemot uzbrukuma parakstu noteikÅ”anu. SistÄmu izveidoja izstrÄdÄtÄju grupa, kas atdalÄ«jÄs no Snort projekta un atbalsta IPS funkcijas kopÅ” versijas 1.4, savukÄrt ielauÅ”anÄs novÄrÅ”ana Snort parÄdÄ«jÄs vÄlÄk.
GalvenÄ atŔķirÄ«ba starp diviem populÄrajiem produktiem ir Suricata spÄja izmantot GPU IDS skaitļoÅ”anai, kÄ arÄ« uzlaboto IPS. SistÄma sÄkotnÄji bija paredzÄta vairÄku vÄ«tÅu izveidoÅ”anai, savukÄrt Snort ir viena vÄ«tnes produkts. Savas garÄs vÄstures un mantotÄ koda dÄļ tÄ optimÄli neizmanto daudzprocesoru/daudzkodolu aparatÅ«ras platformas, savukÄrt Suricata var apstrÄdÄt trafiku lÄ«dz 10 Gb/s parastos vispÄrÄjas nozÄ«mes datoros. Par abu sistÄmu lÄ«dzÄ«bÄm un atŔķirÄ«bÄm var runÄt ilgi, taÄu, lai arÄ« Suricata dzinÄjs darbojas ÄtrÄk, ne pÄrÄk plaÅ”iem kanÄliem tam nav nozÄ«mes.
IzvietoÅ”anas iespÄjas
IPS ir jÄnovieto tÄ, lai sistÄma varÄtu uzraudzÄ«t tÄs kontrolÄ esoÅ”os tÄ«kla segmentus. VisbiežÄk tas ir speciÄls dators, kura viens interfeiss savienojas pÄc malas ierÄ«cÄm un caur tÄm āskatÄsā uz nenodroÅ”inÄtiem publiskajiem tÄ«kliem (internetu). Cits IPS interfeiss ir savienots ar aizsargÄtÄ segmenta ieeju, lai visa trafika izietu caur sistÄmu un tiktu analizÄta. SarežģītÄkos gadÄ«jumos var bÅ«t vairÄki aizsargÄti segmenti: piemÄram, korporatÄ«vajos tÄ«klos bieži tiek iedalÄ«ta demilitarizÄta zona (DMZ) ar pakalpojumiem, kas pieejami no interneta.
Å Äds IPS var novÄrst portu skenÄÅ”anu vai brutÄlu spÄku uzbrukumus, pasta servera, tÄ«mekļa servera vai skriptu ievainojamÄ«bu izmantoÅ”anu, kÄ arÄ« cita veida ÄrÄjos uzbrukumus. Ja datori lokÄlajÄ tÄ«klÄ ir inficÄti ar ļaunprÄtÄ«gu programmatÅ«ru, IDS neļaus tiem sazinÄties ar robottÄ«kla serveriem, kas atrodas ÄrpusÄ. NopietnÄkai iekÅ”ÄjÄ tÄ«kla aizsardzÄ«bai, visticamÄk, bÅ«s nepiecieÅ”ama sarežģīta konfigurÄcija ar sadalÄ«tu sistÄmu un dÄrgiem pÄrvaldÄ«tiem slÄdžiem, kas spÄj atspoguļot trafiku IDS interfeisam, kas savienots ar kÄdu no portiem.
Bieži vien korporatÄ«vie tÄ«kli tiek pakļauti izplatÄ«tiem pakalpojumu atteikuma (DDoS) uzbrukumiem. Lai gan mÅ«sdienu IDS var tikt galÄ ar tiem, iepriekÅ” minÄtÄ izvietoÅ”anas iespÄja Å”eit maz palÄ«dz. SistÄma atpazÄ«st ļaunprÄtÄ«gu darbÄ«bu un bloÄ·Ä viltus trafiku, taÄu Å”im nolÅ«kam paketÄm ir jÄiet cauri ÄrÄjam interneta savienojumam un jÄsasniedz tÄ tÄ«kla saskarne. AtkarÄ«bÄ no uzbrukuma intensitÄtes datu pÄrraides kanÄls var netikt galÄ ar slodzi un uzbrucÄju mÄrÄ·is tiks sasniegts. Å Ädos gadÄ«jumos mÄs iesakÄm izvietot IDS virtuÄlajÄ serverÄ« ar zinÄmu labÄku interneta savienojumu. Varat savienot VPS ar vietÄjo tÄ«klu, izmantojot VPN, un pÄc tam jums bÅ«s jÄkonfigurÄ visas ÄrÄjÄs trafika marÅ”rutÄÅ”ana caur to. Tad DDoS uzbrukuma gadÄ«jumÄ jums nebÅ«s jÄvada paketes, izmantojot savienojumu ar pakalpojumu sniedzÄju, tÄs tiks bloÄ·Ätas ÄrÄjÄ resursdatorÄ.
IzvÄles problÄma
Starp brÄ«vajÄm sistÄmÄm ir ļoti grÅ«ti noteikt lÄ«deri. IDS / IPS izvÄli nosaka tÄ«kla topoloÄ£ija, nepiecieÅ”amÄs aizsardzÄ«bas funkcijas, kÄ arÄ« administratora personÄ«gÄs preferences un viÅa vÄlme Ä·erties pie iestatÄ«jumiem. Snort ir garÄka vÄsture, un tas ir labÄk dokumentÄts, lai gan informÄciju par Suricata ir viegli atrast arÄ« tieÅ”saistÄ. JebkurÄ gadÄ«jumÄ, lai apgÅ«tu sistÄmu, jums bÅ«s jÄpieliek pÅ«les, kas galu galÄ atmaksÄsies - komerciÄlÄ aparatÅ«ra un aparatÅ«ras-programmatÅ«ra IDS / IPS ir diezgan dÄrgas un ne vienmÄr iekļaujas budžetÄ. NevajadzÄtu nožÄlot iztÄrÄto laiku, jo labs administrators vienmÄr paaugstina savu kvalifikÄciju uz darba devÄja rÄÄ·ina. Å ajÄ situÄcijÄ visi uzvar. NÄkamajÄ rakstÄ apskatÄ«sim dažas Suricata izvietoÅ”anas iespÄjas un praksÄ salÄ«dzinÄsim modernÄko sistÄmu ar klasisko IDS/IPS Snort.
Avots: www.habr.com