Indray mandeha dia ampy ny fiarovana ny tamba-jotra eo an-toerana ny firewall tsotra sy ny programa anti-virus, saingy tsy mahomby intsony amin'ny fanafihan'ny hackers maoderina sy ny malware izay nitombo vao haingana ny andiany toy izany. Ny firewall taloha tsara dia manadihady afa-tsy ny lohatenin'ny fonosana, mamela na manakana azy ireo araka ny fitsipika ofisialy. Tsy mahalala na inona na inona momba ny ao anatin'ireo fonosana izy, ka noho izany dia tsy mahafantatra ny fihetsika toa ara-dalΓ na ataon'ireo mpanafika. Ny programa Antivirus dia tsy mahazo malware foana, noho izany dia miatrika ny asa fanaraha-maso ny hetsika tsy ara-dalΓ na sy ny fanokanana ara-potoana ireo mpampiantrano voan'ny aretina ny mpitantana.
Betsaka ny fitaovana mandroso azo atao hiarovana ny fotodrafitrasa IT an'ny orinasa. Androany isika dia hiresaka momba ny rafitra fanaraha-maso sy fisorohana ny fidirana amin'ny loharano misokatra, izay azo ampiharina raha tsy mividy fitaovana lafo vidy sy fahazoan-dΓ lana rindrambaiko.
Fanasokajiana IDS/IPS
IDS (Intrusion Detection System) dia rafitra natao hanoratana hetsika mampiahiahy amin'ny tambajotra na amin'ny solosaina tsirairay. Izy io dia mitazona ny diarin'ny hetsika ary mampahafantatra ny mpiasa tompon'andraikitra amin'ny fiarovana ny vaovao momba azy ireo. Ireto singa manaraka ireto dia azo avahana ho anisan'ny IDS:
- sensor mba hijerena ny fifamoivoizana amin'ny tambajotra, logs isan-karazany, sns.
- subsystem famakafakana izay mamaritra ny famantarana misy fiantraikany ratsy amin'ny angona voaray;
- fitehirizana ny fanangonan-javatra voalohany sy ny vokatry ny fanadihadiana;
- console fitantanana.
Tamin'ny voalohany, ny IDS dia nosokajiana araka ny toerana misy azy: izy ireo dia mety hifantoka amin'ny fiarovana ny nodes tsirairay (host-based na Host Intrusion Detection System - HIDS) na fiarovana ny tambajotran'ny orinasa iray manontolo (Network-based na Network Intrusion Detection System - NIDS). Tsara ny manonona ny atao hoe APIDS (Application protocol-based IDS): Manara-maso andiana protocole amin'ny ambaratongan'ny fampiharana izy ireo mba hamantarana ny fanafihana manokana ary tsy manao famakafakana lalina ny fonosan'ny tambajotra. Ny vokatra toy izany matetika dia mitovy amin'ny proxy ary ampiasaina amin'ny fiarovana ny serivisy manokana: mpizara tranonkala sy fampiharana tranonkala (ohatra, voasoratra amin'ny PHP), mpizara database, sns. Ny ohatra mahazatra amin'ity kilasy ity dia mod_security ho an'ny mpizara tranonkala Apache.
Liana kokoa amin'ny NIDS manerana izao rehetra izao izahay izay manohana ny protocole fifandraisana isan-karazany sy ny teknolojia DPI (Deep Packet Inspection). Manara-maso ny fifamoivoizana mandalo rehetra izy ireo, manomboka amin'ny sarin'ny rohy angon-drakitra, ary mahita ny fanafihana tambajotra marobe, ary koa ny fanandramana amin'ny fidirana tsy nahazoana alalana amin'ny fampahalalana. Matetika ny rafitra toy izany dia manana maritrano mizara ary afaka mifandray amin'ny fitaovana tambajotra mavitrika isan-karazany. Mariho fa maro ny NIDS maoderina dia hybrid ary manambatra fomba fiasa maromaro. Miankina amin'ny fanamafisana sy ny toe-javatra, afaka mamaha olana isan-karazany izy ireo - ohatra, miaro ny node iray na ny tambajotra iray manontolo. Ankoatra izany, ny asan'ny IDS ho an'ny toeram-piasana dia noraisin'ny fonosana anti-virus, izay, noho ny fiparitahan'ny Trojans mikendry ny hangalatra vaovao, dia nivadika ho firewall multifunctional izay mamaha ny olan'ny famantarana sy ny fanakanana ny fifamoivoizana mampiahiahy.
Tamin'ny voalohany, ny IDS dia tsy nahita afa-tsy ny asan'ny malware, ny scanner port, na, ohatra, ny fanitsakitsahana ny politikan'ny fiarovana ny orinasa. Rehefa nitranga ny hetsika iray dia nampandre ny mpitantana izy ireo, saingy nazava haingana fa tsy ampy ny fanekena fotsiny ny fanafihana - mila sakanana. Noho izany dia niova ho IPS (Intrusion Prevention Systems) ny IDS - rafitra fisorohana ny fidirana afaka mifandray amin'ny firewall.
Fomba fitadiavana
Mampiasa fomba isan-karazany hamantarana ny asa ratsy, izay azo zaraina ho sokajy telo ny vahaolana amin'ny fitsikilovana sy ny fisorohana ny fidiran'ny olona maoderina. Izany dia manome antsika safidy hafa amin'ny fanasokajiana ny rafitra:
- Ny IDS/IPS mifototra amin'ny sonia dia mahita lamina amin'ny fifamoivoizana na manara-maso ny fiovan'ny rafitra mba hamaritana ny fanafihana amin'ny tambajotra na fanandramana otrikaretina. Saika tsy manome misfires sy valiny diso izy ireo, saingy tsy afaka mamantatra ny fandrahonana tsy fantatra;
- Tsy mampiasa sonia fanafihana ny IDS mpitsikilo anomaly. Izy ireo dia mahafantatra ny fitondran-tena tsy ara-dalΓ na amin'ny rafitra fampahalalam-baovao (anisan'izany ny tsy mety amin'ny fifamoivoizana amin'ny tambajotra) ary afaka mahita fanafihana tsy fantatra mihitsy aza. Ny rafitra toy izany dia manome valiny diso be dia be ary, raha ampiasaina amin'ny fomba diso, dia manakana ny fiasan'ny tambajotra eo an-toerana;
- Ny IDS mifototra amin'ny fitsipika dia miasa amin'ny fitsipika: raha FACT dia ACTION. Raha ny tena izy, ireo dia rafitra manam-pahaizana miaraka amin'ny fototry ny fahalalana - fitambarana zava-misy sy fitsipika momba ny famintinana lojika. Ny vahaolana toy izany dia miasa mafy amin'ny fananganana ary mitaky ny tompon'andraikitra mba hanana fahatakarana amin'ny antsipiriany momba ny tambajotra.
Ny tantaran'ny fampandrosoana ny IDS
Nanomboka tamin'ny taona 90 tamin'ny taonjato farany ny vanim-potoanan'ny fivoarana haingana ny Internet sy ny tambajotran'ny orinasa, saingy gaga ny manam-pahaizana momba ny teknolojia fiarovana amin'ny tambajotra efa mandroso kely aloha kokoa. Ao amin'ny 1986, Dorothy Denning sy Peter Neumann dia namoaka ny modely IDES (Intrusion detection expert system), izay lasa fototry ny ankamaroan'ny rafitra fitsikilovana an-tsokosoko maoderina. Nampiasa rafitra manam-pahaizana izy io mba hamantarana ireo karazana fanafihana fantatra, ary koa ny fomba statistika sy ny mombamomba ny mpampiasa/rafitra. IDES dia nihazakazaka tamin'ny toeram-piasana Sun, nanara-maso ny fifamoivoizana amin'ny tambajotra sy ny angona fampiharana. Tamin'ny taona 1993, navoaka ny NIDES (Rafitra manam-pahaizana momba ny fitsikilovana amin'ny taranaka manaraka) - rafitra manam-pahaizana momba ny fitsikilovana taranaka vaovao.
Miorina amin'ny asan'i Denning sy Neumann, ny rafitra manam-pahaizana MIDAS (Multics intrusion detection and alerting system) mampiasa P-BEST sy LISP dia niseho tamin'ny 1988. Nandritra izany fotoana izany, ny rafitra Haystack mifototra amin'ny fomba statistika dia noforonina. Mpitsikilo anomaly statistika iray hafa, W&S (Wisdom & Sense), dia novolavolaina herintaona taty aoriana tao amin'ny Los Alamos National Laboratory. Nivoatra haingana ny indostria. Ohatra, tamin'ny taona 1990, ny rafitra TIM (Masinina inductive mifototra amin'ny fotoana) dia efa nampihatra ny fitadiavana anomaly amin'ny alΓ lan'ny fianarana inductive amin'ny lamina mpampiasa sequential (fiteny LISP mahazatra). Ny NSM (Network Security Monitor) dia nampitaha ny matrices fidirana mba hamantarana ny tsy fetezana, ary ny ISOA (Information Security Officer's Assistant) dia nanohana paikady fitiliana isan-karazany: fomba statistika, fanamarinana ny mombamomba ary rafitra manam-pahaizana. Ny rafitra ComputerWatch noforonina tao amin'ny AT&T Bell Labs dia nampiasa fomba statistika sy fitsipika ho an'ny fanamarinana, ary ny mpamorona ny University of California dia nahazo ny prototype voalohany amin'ny IDS nozaraina tamin'ny 1991 - DIDS (Distributed Intrusion Detection System) dia rafitra manam-pahaizana ihany koa.
Tamin'ny voalohany, ny IDS dia tompon'andraikitra, fa efa tamin'ny 1998, ny National Laboratory. Lawrence Berkeley dia namoaka an'i Bro (nomena anarana hoe Zeek tamin'ny taona 2018), rafitra loharano misokatra izay mampiasa fiteny fitsipika manan-tompo handinihana ny angona libpcap. Tamin'ny volana Novambra tamin'io taona io ihany, niseho ny sniffer fonosana APE mampiasa libpcap, izay iray volana taty aoriana dia nantsoina hoe Snort, ary taty aoriana dia lasa IDS/IPS feno. Nandritra izany fotoana izany dia nanomboka nipoitra ny vahaolana manokana maro.
Snort sy Suricata
Betsaka ny orinasa maniry ny IDS/IPS maimaim-poana sy misokatra. Efa ela no noheverina ho vahaolana manara-penitra ilay Snort efa voalaza, saingy izao nosoloina ny rafitra Suricata. Andeha hojerentsika amin'ny antsipiriany bebe kokoa ny tombony sy ny tsy fahampian'izy ireo. Snort dia manambatra ny tombotsoan'ny fomba mifototra amin'ny sonia miaraka amin'ny fahaizana mamantatra ny tsy mety amin'ny fotoana tena izy. Suricata koa dia mamela anao hampiasa fomba hafa ankoatra ny fahafantarana ny fanafihana amin'ny sonia. Ny rafitra dia noforonin'ny vondron'ny mpamorona misaraka amin'ny tetikasa Snort ary manohana ny fiasa IPS manomboka amin'ny dikan-teny 1.4, ary Snort dia nampiditra ny fahafahana misoroka ny fidirana any aoriana.
Ny fahasamihafana lehibe eo amin'ireo vokatra roa malaza ireo dia ny fahafahan'i Suricata mampiasa ny kajy GPU amin'ny fomba IDS, ary koa ny IPS mandroso kokoa. Ny rafitra dia natao voalohany ho an'ny multi-threading, raha Snort dia vokatra tokana. Noho ny tantarany lava sy ny kaody lova, dia tsy mampiasa tsara ny sehatra multiprocessor/multicore hardware izy, fa ny Suricata kosa dia afaka mitantana fifamoivoizana hatramin'ny 10 Gbps amin'ny ordinatera mahazatra mahazatra. Afaka miresaka ela momba ny fitoviana sy ny fahasamihafana misy eo amin'ny rafitra roa, fa na dia miasa haingana kokoa ny maotera Suricata, fa ny fantsona tsy dia midadasika loatra izany dia tsy zava-dehibe.
Deployment Options
Ny IPS dia tsy maintsy apetraka amin'ny fomba ahafahan'ny rafitra manara-maso ny ampahan'ny tambajotra eo ambany fifehezany. Matetika izy io dia solosaina natokana ho an'ny solosaina iray, ny iray amin'izy ireo dia mifandray aorian'ny fitaovana sisiny ary "mijery" azy ireo amin'ny tambajotram-bahoaka tsy voaaro (ny Internet). Ny interface IPS iray hafa dia mifandray amin'ny fidirana amin'ny fizarana voaaro mba handalo ny fifamoivoizana rehetra amin'ny rafitra ary hodinihina. Amin'ny toe-javatra sarotra kokoa, mety misy ampahany voaaro maromaro: ohatra, ao amin'ny tambajotran'ny orinasa dia matetika omena faritra tsy misy miaramila (DMZ) miaraka amin'ny serivisy azo idirana amin'ny Internet.
Ny IPS toy izany dia afaka misoroka ny fisavana seranan-tsambo na ny fanafihana mahery vaika amin'ny tenimiafina, ny fitrandrahana ny vulnerabilities amin'ny mpizara mailaka, ny mpizara tranonkala na ny script, ary koa ireo karazana fanafihana ivelany hafa. Raha voan'ny malware ny solosaina ao amin'ny tambajotra eo an-toerana, dia tsy hamela azy ireo hifandray amin'ireo mpizara botnet any ivelany ny IDS. Ho fiarovana matotra kokoa ny tambazotra anatiny, dia azo inoana fa ilaina ny fanamboarana saro-pady miaraka amin'ny rafitra zaraina sy ireo switch lafo vidy afaka manara-maso ny fifamoivoizana ho an'ny interface IDS mifandray amin'ny iray amin'ireo seranana.
Matetika iharan'ny fanafihana distributed denial of service (DDoS) ny tambajotran'orinasa. Na dia afaka miatrika azy ireo aza ny IDS maoderina, dia azo inoana fa tsy hanampy eto ny safidy fametrahana etsy ambony. Ny rafitra dia hamantatra ny hetsika maloto ary hanakana ny fifamoivoizana sandoka, fa mba hanaovana izany, ny fonosana dia tsy maintsy mandalo fifandraisana Internet ivelany ary tonga any amin'ny fifandraisan'ny tambajotra. Miankina amin'ny hamafin'ny fanafihana, ny fantsona fampitana angon-drakitra dia mety tsy hahazaka ny entana ary ho tratra ny tanjon'ireo mpanafika. Ho an'ny tranga toy izany, manoro hevitra ny fametrahana IDS amin'ny lohamilina virtoaly misy fifandraisana Internet mazava kokoa. Azonao atao ny mampifandray ny VPS amin'ny tamba-jotra eo an-toerana amin'ny alΓ lan'ny VPN, ary avy eo dia mila manitsy ny lΓ lan'ny fifamoivoizana ivelany rehetra amin'ny alΓ lan'izany ianao. Avy eo, raha misy fanafihana DDoS, dia tsy mila mandefa fonosana amin'ny alΓ lan'ny fifandraisana amin'ny mpamatsy ianao; ho voasakana amin'ny node ivelany izy ireo.
Olana amin'ny safidy
Sarotra be ny mamantatra mpitarika iray amin'ireo rafitra malalaka. Ny safidin'ny IDS/IPS dia voafaritry ny topolojian'ny tambajotra, ny fiasa fiarovana ilaina, ary koa ny safidin'ny mpitantana manokana sy ny faniriany hifehy ny toe-javatra. Manana tantara lava kokoa i Snort ary voarakitra tsara kokoa, na dia mora hita amin'ny Internet ihany koa ny fampahalalana momba an'i Suricata. Na izany na tsy izany, mba hifehezana ny rafitra dia tsy maintsy manao ezaka ianao, izay handoa vola amin'ny farany - ny hardware ara-barotra sy ny rindrambaiko IDS/IPS dia lafo ary tsy mifanaraka amin'ny tetibola. Tsy misy dikany ny manenina amin'ny fotoana lany, satria ny admin mahay dia manatsara hatrany ny fahaizany amin'ny fandaniana ny mpampiasa. Amin'ity toe-javatra ity dia mandresy ny rehetra. Ao amin'ny lahatsoratra manaraka dia hijery ny sasany amin'ireo safidy fametrahana Suricata isika ary hampitaha rafitra maoderina kokoa miaraka amin'ny IDS/IPS Snort mahazatra amin'ny fampiharana.
Source: www.habr.com