I nga wa o mua, he nui noa te papangaahi me nga kaupapa anti-huaketo ki te tiaki i tetahi whatunga rohe, engari kua kore e tino whai hua taua huinga ki nga whakaeke a nga kaiwhaiwhai hou me nga kino kino kua piki ake nei. Ko te papangaahi tawhito pai anake ka tātari i nga pane pane, ka tuku, ka aukati ranei i runga i te huinga ture okawa. Kaore ia e mohio ki nga mea o roto o nga paatete, na reira kaore e mohio ki nga mahi tika a te hunga whakaeke. Ko nga kaupapa pareketo e kore e mau i te kino i nga wa katoa, no reira kei te mahi te kaiwhakahaere ki te aro turuki i nga mahi rerekee me te wehe i nga kaihautu kua pangia.
He maha nga taputapu matatau e waatea ana hei tiaki i nga hanganga IT o te kamupene. I tenei ra ka korero tatou mo nga punaha rapunga pokanoa me nga punaha aukati, ka taea te whakatinana me te kore e hoko taputapu utu nui me nga raihana rorohiko.
IDS/IPS whakarōpūtanga
Ko te IDS (Intrusion Detection System) he punaha i hangaia hei rehita i nga mahi hihira i runga whatunga, i runga rorohiko takitahi ranei. Ka pupuri i nga raarangi huihuinga me te whakamohio ki te kaimahi te kawenga mo te haumarutanga korero mo ratou. Ko nga waahanga e whai ake nei ka taea te wehewehe hei waahanga o te IDS:
- pūoko mo te tiro i nga waka whatunga, nga momo rakau, aha atu.
- he puunaha iti tātari e tohu ana i nga tohu awe kino i roto i nga raraunga kua riro mai;
- rokiroki mo te whakaemi o nga huihuinga tuatahi me nga hua tātaritanga;
- papatohu whakahaere.
I te timatanga, i whakarōpūhia nga IDS ma te waahi: ka taea te aro ki te tiaki i nga waahanga takitahi (te kaihautu-a-te-te-kaihautu, te Pūnaha Tirohanga Whakauru - HIDS) te tiaki ranei i te whatunga umanga katoa (whatunga-whatunga, Whatunga Intrusion Detection System - NIDS). He pai ki te whakahua i nga mea e kiia ana APIDS (Application protocol-based IDS): Ka aroturuki ratou i te huinga iti o nga kawa taumata-tono hei tautuhi i nga whakaeke motuhake me te kore e mahi i te tirotiro hohonu o nga paatete whatunga. He rite tonu enei hua ki nga takawaenga ka whakamahia hei tiaki i nga ratonga motuhake: he tūmau tukutuku me nga tono tukutuku (hei tauira, tuhia ki te PHP), he tūmau pātengi raraunga, aha atu. He tauira angamaheni o tenei akomanga ko te mod_security mo te tūmau tukutuku Apache.
Kei te pirangi matou ki nga NIDS o te ao katoa e tautoko ana i te whānuitanga o nga tikanga whakawhitiwhiti korero me nga hangarau DPI (Deep Packet Inspection). Ka aroturuki ratou i nga waka katoa e haere ana, ka timata mai i te paparanga hononga raraunga, ka kitea te whānuitanga o nga whakaeke whatunga, me te ngana ki te uru kore mana ki nga korero. I te nuinga o nga wa he hoahoanga toha o enei punaha ka taea te taunekeneke me nga momo taputapu whatunga kaha. Kia mahara he maha nga NIDS hou he ranu me te whakakotahi i nga huarahi maha. I runga i te whirihoranga me nga tautuhinga, ka taea e ratou te whakaoti rapanga rereke - hei tauira, te tiaki i tetahi node, i te whatunga katoa ranei. I tua atu, ko nga mahi a te IDS mo nga teihana mahi i tangohia e nga kohinga anti-huaketo, na te horapa o nga Trojans e whai ana ki te tahae korero, ka huri ki nga papangaahi maha e whakaoti ana hoki i nga raruraru o te mohio me te aukati i nga waka whakapae.
I te timatanga, ka taea e te IDS te kite i nga mahi kino, nga matawai tauranga, me te kii, he takahi nga kaiwhakamahi ki nga kaupapa here haumarutanga umanga. I te wa i puta mai tetahi kaupapa, i whakamohio atu ratou ki te kaiwhakahaere, engari i tino marama ko te mohio noa ki te whakaeke kaore i ranea - me aukati. Na ka hurihia a IDS ki te IPS (Intrusion Prevention Systems) - nga punaha aukati whakauru e kaha ana ki te taunekeneke me nga papaahi.
Nga tikanga rapu
He maha nga tikanga hei tautuhi i nga mahi kino, ka taea te wehewehe ki nga waahanga e toru. Ma tenei ka hoatu tetahi atu whiringa mo te whakarōpū i nga punaha:
- Ko nga IDS/IPS e pa ana ki te hainatanga ka kitea nga tauira i roto i nga waka, ka aro turuki ranei i nga huringa o te ahua o nga punaha hei whakatau i te whakaeke whatunga, i te nganatanga mate ranei. Karekau ratou e tuku he ahi me nga hua teka, engari kaore e taea te tautuhi i nga riri kaore e mohiotia;
- Karekau nga IDS e rapu ana i te ahua kino e whakamahi i nga hainatanga whakaeke. E mohio ana ratou ki nga whanonga rerekee o nga punaha korero (tae atu ki nga kohihiko i roto i nga hokohoko whatunga) ka taea hoki te kite i nga whakaeke kore mohiotia. Ko enei punaha he maha nga hua teka, a, ki te he te whakamahi, ka pararutiki te mahi o te whatunga rohe;
- Ko nga IDS e pa ana ki te ture e mahi ana i runga i te maapono: ki te FACT ka mahi. Ko te tikanga, he punaha tohunga enei me nga turanga matauranga - he huinga meka me nga ture o te whakatau arorau. Ko enei otinga he whakapau kaha ki te whakarite me te tono kia mohio te kaiwhakahaere ki te whatunga.
Te hitori o te whanaketanga IDS
Ko te wa o te whanaketanga tere o te Ipurangi me nga whatunga umanga i timata i nga tau 90 o te rautau kua hipa, engari i pohehe nga tohunga ki nga hangarau haumaru whatunga i mua tata ake nei. I te tau 1986, i whakaputahia e Dorothy Denning raua ko Peter Neumann te tauira IDES (Intrusion detection expert system), i noho hei turanga mo te nuinga o nga punaha rapu urunga hou. I whakamahia e ia he punaha tohunga ki te tautuhi i nga momo whakaeke e mohiotia ana, me nga tikanga tauanga me nga korero a nga kaiwhakamahi / punaha. I rere a IDES i runga i nga teihana mahi a Sun, i te tirotiro i nga whakawhitinga whatunga me nga raraunga tono. I te tau 1993, i tukuna a NIDES (Next-Generation Intrusion Detection Expert System) - he reanga hou nga punaha tohunga rapu urunga.
I runga i nga mahi a Denning raua ko Neumann, i puta te punaha tohunga MIDAS (Multics intrusion detection and alerting system) ma te whakamahi i te P-BEST me te LISP i te tau 1988. I te wa ano, i hangaia te punaha Haystack i runga i nga tikanga tatauranga. Ko tetahi atu kaitirotiro anomaly tatauranga, W&S (Wisdom & Sense), i whakawhanakehia i te tau i muri mai i Los Alamos National Laboratory. He tere te tipu o te ahumahi. Hei tauira, i te tau 1990, kua whakatinanahia e te punaha TIM (Maihini whakauru-waa) te rapu anomaly ma te whakamahi i te ako inductive i runga i nga tauira kaiwhakamahi raupapa (Ko te reo LISP noa). I whakatairitehia e NSM (Kaituruki Haumarutanga Whatunga) nga matrices uru ki te kite i nga kopikopiko, me te ISOA (Kaiwhina mo te Apiha Haumarutanga Korero) i tautoko i nga momo rautaki rapu: tikanga tauanga, arowhai tohu me te punaha tohunga. Ko te punaha ComputerWatch i hangaia i AT&T Bell Labs i whakamahi i nga tikanga tatauranga me nga ture mo te manatoko, a ka riro i nga kaiwhakawhanake o te Whare Wananga o California te tauira tuatahi o te IDS kua tohatohahia i te tau 1991 - he punaha tohunga ano te DIDS (Distributed Intrusion Detection System).
I te tuatahi, he rangatira te IDS, engari i te tau 1998, ko te National Laboratory. I tukuna e Lawrence Berkeley a Bro (kua whakaingoatia ko Zeek i te tau 2018), he punaha puna tuwhera e whakamahi ana i te reo ture rangatira mo te tātari raraunga libpcap. I te marama o Whiringa-a-rangi o taua tau ano, ka puta mai te APE packet sniffer e whakamahi ana i te libpcap, i te marama i muri mai ka whakaingoatia ko Snort, a, i muri mai ka noho hei IDS/IPS katoa. I te wa ano, he maha nga otinga rangatira i timata te puta.
Snort and Suricata
He maha nga kamupene e pai ana ki te kore utu me te tuwhera puna IDS/IPS. Mo te wa roa, ko te Snort kua whakahuahia i kiia ko te otinga paerewa, engari inaianei kua whakakapihia e te punaha Suricata. Kia titiro tatou ki o raatau painga me o raatau ngoikoretanga i roto i nga korero iti. Ko te Snort te whakakotahi i nga painga o te tikanga hainatanga me te kaha ki te kite i nga kohikohiko i te waa tuuturu. Ka taea hoki e Suricata te whakamahi i etahi atu tikanga haunga te mohio ki nga whakaeke a nga hainatanga. I hangaia te punaha e te roopu o nga kaiwhakawhanake kua wehea mai i te kaupapa Snort me te tautoko i nga mahi IPS ka timata mai i te putanga 1.4, a ka whakauruhia e Snort te kaha ki te aukati i nga pokanoa i muri mai.
Ko te rereketanga nui i waenga i nga hua rongonui e rua ko te kaha o Suricata ki te whakamahi rorohiko GPU i roto i te aratau IDS, me te IPS ake ake. I hangaia te punaha i te tuatahi mo te miro-maha, ko te Snort he hua miro kotahi. Na te roa o te hitori me te waehere tuku iho, kaore i te tino pai te whakamahi i nga papaahiko multiprocessor/multicore, engari ka taea e Suricata te whakahaere waka ki runga ki te 10 Gbps i runga i nga rorohiko kaupapa whanui. Ka taea e taatau te korero mo te wa roa mo nga ahuatanga me nga rereketanga i waenga i nga punaha e rua, engari ahakoa he tere ake te mahi a te miihini Suricata, na te mea kaore i te whanui rawa nga hongere ehara tenei i te mea nui.
Kōwhiringa Tukunga
Me whakanoho te IPS ki tetahi huarahi ka taea e te punaha te aro turuki i nga waahanga whatunga i raro i tana mana whakahaere. I te nuinga o nga wa, he rorohiko whakatapua tenei, ko tetahi atanga e hono ana i muri i nga taputapu taha ka "titiro" ki roto i a raatau ki nga whatunga whanui kore (te Ipurangi). Ko tetahi atu atanga IPS e hono ana ki te whakaurunga o te waahanga whakamarumaru kia puta nga waka katoa i roto i te punaha ka tātarihia. I roto i nga keehi uaua ake, tera pea he maha nga waahanga kua tiakina: hei tauira, i roto i nga whatunga umanga ka tohatohahia he rohe whakaheke (DMZ) me nga ratonga ka uru mai i te Ipurangi.
Ka taea e taua IPS te aukati i te matawai tauranga, i te kupu huna ranei i nga whakaeke kaha, te whakaraerae i nga whakaraeraetanga i roto i te tūmau mēra, te tūmau tukutuku, te hōtuhi ranei, me etahi atu momo whakaeke o waho. Mena ka pangia nga rorohiko i runga i te whatunga o te rohe ki te kino, kaore a IDS e tuku ki a raatau ki te whakapiri atu ki nga kaiwhakarato botnet kei waho. Mo te whakamarumaru nui ake o te whatunga o roto, he whirihoranga uaua me te punaha tohatoha me nga huringa whakahaere utu nui e kaha ana ki te whakaata i nga waka mo te atanga IDS e hono ana ki tetahi o nga tauranga ka tino hiahiatia.
Ko nga whatunga rangatōpū he maha nga wa ka tukuna ki nga whakaeke whakahē o te ratonga (DDoS). Ahakoa ka taea e nga IDS hou te mahi ki a raatau, ko te waahanga tuku i runga ake nei kaore pea e awhina i konei. Ka mohio te punaha ki nga mahi kino me te aukati i nga hokohoko tinihanga, engari ki te mahi i tenei, me haere nga paatete ki tetahi hononga Ipurangi o waho ka tae atu ki tana atanga whatunga. I runga i te kaha o te whakaeke, ka kore pea e taea e te hongere whakawhiti raraunga te whakatutuki i te kawenga, ka tutuki te whainga a te hunga whakaeke. Mo enei keehi, ka tūtohu kia tukuna he IDS ki runga i te tūmau mariko me te hononga Ipurangi kaha ake. Ka taea e koe te hono atu i te VPS ki te whatunga rohe ma te VPN, katahi ka hiahia koe ki te whirihora i te ararere o nga waka o waho katoa ma roto. Na, ki te whakaekehia e te DDoS, kaore koe e tuku i nga paatete ma te hononga ki te kaiwhakarato; ka aukatihia ki te node o waho.
Tuhinga o mua
He tino uaua ki te tautuhi i tetahi rangatira i waenga i nga punaha kore utu. Ko te whiriwhiri o te IDS / IPS ka whakatauhia e te topology whatunga, nga mahi haumaru e hiahiatia ana, me nga hiahia whaiaro o te kaiwhakahaere me tana hiahia ki te tarai i nga tautuhinga. He roa ake te hitori o Snort, he pai ake te tuhi, ahakoa he ngawari te rapu korero mo Suricata ki runga ipurangi. Ahakoa he aha, kia mohio ai koe ki te punaha me whakapau kaha koe, ka mutu te utu - he tino utu nga taputapu arumoni me nga taputapu-rorohiko IDS/IPS, kaore e uru ki te tahua moni. Kaore he take o te pouri mo te wa moumou, no te mea ko te kaiwhakahaere pai te whakapai ake i ona pukenga i runga i te utu o te kaituku mahi. I tenei ahuatanga, ka wikitoria te katoa. I roto i te tuhinga e whai ake nei ka titiro tatou ki etahi whiringa whakaurunga Suricata me te whakataurite i tetahi punaha hou ake me te IDS / IPS Snort matarohia i roto i te mahi.
Source: will.com