Нэгэн цагт ердийн галт хана болон вирусны эсрэг программууд нь дотоод сүлжээг хамгаалахад хангалттай байсан ч орчин үеийн хакеруудын халдлага болон сүүлийн үед олширсон хортой программ хангамжийн эсрэг ийм багц хангалттай үр дүнтэй байхаа больсон. Сайн хуучин галт хана нь зөвхөн багцын толгой хэсэгт дүн шинжилгээ хийж, албан ёсны дүрмийн дагуу зөвшөөрч эсвэл блоклодог. Энэ нь пакетуудын агуулгын талаар юу ч мэдэхгүй тул халдагчдын хууль ёсны үйлдлүүдийг хүлээн зөвшөөрөх боломжгүй юм. Вирусны эсрэг программууд нь хортой программыг үргэлж барьж чаддаггүй тул администратор нь хэвийн бус үйл ажиллагааг хянах, халдвар авсан хостуудыг цаг тухайд нь тусгаарлах үүрэгтэй тулгардаг.
Компанийн мэдээллийн технологийн дэд бүтцийг хамгаалах олон дэвшилтэт хэрэгслүүд байдаг. Өнөөдөр бид өндөр үнэтэй тоног төхөөрөмж, програм хангамжийн лиценз худалдаж авахгүйгээр хэрэгжүүлэх боломжтой халдлага илрүүлэх, урьдчилан сэргийлэх нээлттэй эхийн системийн талаар ярих болно.
IDS/IPS ангилал
IDS (Intrusion Detection System) нь сүлжээ эсвэл хувийн компьютер дээрх сэжигтэй үйлдлийг бүртгэх зориулалттай систем юм. Энэ нь үйл явдлын бүртгэлийг хөтөлж, мэдээллийн аюулгүй байдлыг хариуцдаг ажилтанд мэдэгддэг. Дараахь элементүүдийг IDS-ийн нэг хэсэг болгон ялгаж болно.
- сүлжээний урсгалыг үзэх мэдрэгч, янз бүрийн бүртгэл гэх мэт.
- хүлээн авсан өгөгдөлд хортой нөлөө үзүүлэх шинж тэмдгийг тодорхойлдог шинжилгээний дэд систем;
- анхдагч үйл явдал, шинжилгээний үр дүнг хуримтлуулах хадгалах;
- удирдлагын консол.
Эхэндээ IDS-ийг байршлаар нь ангилсан: тэдгээр нь бие даасан зангилаа (хост дээр суурилсан эсвэл Хост халдлага илрүүлэх систем - HIDS) эсвэл корпорацийн сүлжээг бүхэлд нь (сүлжээнд суурилсан эсвэл Сүлжээний халдлага илрүүлэх систем - NIDS) хамгаалахад чиглэгдсэн байж болно. гэж нэрлэгддэг зүйлийг дурдах нь зүйтэй APIDS (Application protocol-based IDS): Тэд тодорхой халдлагуудыг тодорхойлохын тулд програмын түвшний хязгаарлагдмал багц протоколуудыг хянадаг бөгөөд сүлжээний пакетуудад гүнзгий дүн шинжилгээ хийдэггүй. Ийм бүтээгдэхүүн нь ихэвчлэн прокситэй төстэй бөгөөд тодорхой үйлчилгээг хамгаалахад ашиглагддаг: вэб сервер, вэб програмууд (жишээлбэл, PHP дээр бичигдсэн), мэдээллийн сангийн сервер гэх мэт. Энэ ангийн ердийн жишээ бол Apache вэб серверт зориулсан mod_security юм.
Бид өргөн хүрээний харилцаа холбооны протоколууд болон DPI (Deep Packet Inspection) технологийг дэмждэг бүх нийтийн NIDS-ийг илүү сонирхож байна. Тэд өгөгдлийн холбоосын давхаргаас эхлээд дамжуулж буй бүх урсгалыг хянаж, сүлжээний өргөн хүрээний халдлага, мэдээлэлд зөвшөөрөлгүй нэвтрэх оролдлогыг илрүүлдэг. Ихэнхдээ ийм системүүд нь тархсан архитектуртай бөгөөд янз бүрийн идэвхтэй сүлжээний төхөөрөмжтэй харьцаж чаддаг. Орчин үеийн олон NIDS нь эрлийз бөгөөд хэд хэдэн аргыг хослуулсан гэдгийг анхаарна уу. Тохиргоо, тохиргооноос хамааран тэд янз бүрийн асуудлыг шийдэж чадна - жишээлбэл, нэг зангилаа эсвэл бүх сүлжээг хамгаалах. Нэмж дурдахад, ажлын станцуудад зориулсан IDS-ийн функцийг вирусын эсрэг багцууд авсан бөгөөд мэдээлэл хулгайлах зорилготой троянууд тархаж, олон үйлдэлт галт хана болж хувирсан бөгөөд энэ нь сэжигтэй траффикийг таних, хаах асуудлыг шийддэг.
Эхэндээ IDS нь зөвхөн хортой програмын үйл ажиллагаа, порт сканнер эсвэл хэрэглэгчийн байгууллагын аюулгүй байдлын бодлогыг зөрчсөн тохиолдолд л илрүүлдэг. Тодорхой үйл явдал тохиолдоход тэд администраторт мэдэгдсэн боловч халдлагыг хүлээн зөвшөөрөх нь хангалтгүй байсан тул үүнийг хаах шаардлагатай болсон. Тиймээс IDS нь IPS (Intrusion Prevention Systems) буюу галт ханатай ажиллах чадвартай халдлагаас урьдчилан сэргийлэх систем болгон хувиргасан.
Илрүүлэх аргууд
Халдлагыг илрүүлэх, урьдчилан сэргийлэх орчин үеийн шийдлүүд нь хортой үйл ажиллагааг тодорхойлох янз бүрийн аргыг ашигладаг бөгөөд эдгээрийг гурван төрөлд хувааж болно. Энэ нь системийг ангилах өөр нэг сонголтыг бидэнд олгодог:
- Гарын үсэгт суурилсан IDS/IPS нь сүлжээний халдлага, халдварын оролдлогыг тодорхойлохын тулд замын хөдөлгөөний хэв маягийг илрүүлэх эсвэл системийн төлөвийн өөрчлөлтийг хянах. Тэд бараг алдаа, худал эерэг үр дүнг өгдөггүй, гэхдээ үл мэдэгдэх аюулыг тодорхойлох чадваргүй;
- Аномали илрүүлэх IDS нь халдлагын гарын үсэг ашигладаггүй. Тэд мэдээллийн системийн хэвийн бус үйлдлийг (сүлжээний урсгал дахь гажиг гэх мэт) хүлээн зөвшөөрч, үл мэдэгдэх халдлагыг илрүүлж чаддаг. Ийм системүүд нь маш олон хуурамч эерэг үр дүнг өгдөг бөгөөд хэрэв буруу ашиглавал дотоод сүлжээний үйл ажиллагааг саатуулдаг;
- Дүрэмд суурилсан IDS нь: хэрэв FACT бол ҮЙЛ АЖИЛЛАГАА гэсэн зарчмаар ажилладаг. Үндсэндээ эдгээр нь мэдлэгийн суурьтай шинжээчийн системүүд - логик дүгнэлтийн баримт, дүрмийн багц юм. Ийм шийдлүүдийг тохируулах нь маш их хөдөлмөр шаарддаг бөгөөд администратороос сүлжээний талаар нарийвчилсан ойлголттой байхыг шаарддаг.
IDS-ийн хөгжлийн түүх
Интернет болон корпорацийн сүлжээний хурдацтай хөгжлийн эрин үе өнгөрсөн зууны 90-ээд оноос эхэлсэн боловч мэргэжилтнүүд сүлжээний аюулгүй байдлын дэвшилтэт технологид арай эрт эргэлзэж байв. 1986 онд Дороти Деннинг, Питер Нейманн нар ихэнх орчин үеийн халдлагыг илрүүлэх системүүдийн үндэс болсон IDES (Intrusion detection expert system) загварыг гаргасан. Энэ нь мэдэгдэж буй халдлагын төрлүүд, түүнчлэн статистик аргууд болон хэрэглэгчийн/системийн профайлыг тодорхойлохын тулд шинжээчийн системийг ашигласан. IDES нь Sun ажлын станцууд дээр ажиллаж, сүлжээний урсгал болон хэрэглээний өгөгдлийг шалгадаг. 1993 онд NIDES (Next-Generation Intrusion Detection Expert System) буюу шинэ үеийн халдлагыг илрүүлэх шинжээчийн систем гарсан.
Деннинг, Нейманн нарын бүтээл дээр үндэслэн P-BEST болон LISP ашигладаг MIDAS (Multics intrusion detection and alerting system) шинжээчийн систем 1988 онд гарч ирсэн. Үүний зэрэгцээ статистикийн аргад суурилсан Haystack системийг бий болгосон. Өөр нэг статистик гажиг илрүүлэгч W&S (Wisdom & Sense) нь жилийн дараа Лос Аламосын үндэсний лабораторид бүтээгдсэн. Аж үйлдвэр асар хурдацтай хөгжиж байв. Жишээлбэл, 1990 онд TIM (Time-based inductive machine) систем нь дараалсан хэрэглэгчийн хэв маяг (Common LISP хэл) дээр индуктив сургалтыг ашиглан аномали илрүүлэх аргыг аль хэдийн хэрэгжүүлсэн. NSM (Сүлжээний аюулгүй байдлын хяналт) нь гажиг илрүүлэхийн тулд хандалтын матрицуудыг харьцуулж, ISOA (Мэдээллийн аюулгүй байдлын ажилтны туслах) статистикийн аргууд, профайлыг шалгах, шинжээчийн систем зэрэг янз бүрийн илрүүлэх стратегийг дэмждэг. AT&T Bell Labs-д бүтээгдсэн ComputerWatch систем нь баталгаажуулахдаа статистикийн арга, дүрмийг ашигласан бөгөөд Калифорнийн Их Сургуулийн хөгжүүлэгчид 1991 онд тархсан IDS-ийн анхны загварыг хүлээн авсан - DIDS (Distributed Intrusion Detection System) нь мөн шинжээч систем байв.
Эхэндээ IDS нь хувийн өмч байсан боловч 1998 онд Үндэсний лаборатори болжээ. Лоуренс Беркли libpcap өгөгдөлд дүн шинжилгээ хийхэд өмчийн дүрмийн хэл ашигладаг нээлттэй эхийн систем болох Bro (2018 онд Zeek нэрийг өөрчилсөн) гаргасан. Мөн оны арваннэгдүгээр сард libpcap ашигладаг APE пакет илрүүлэгч гарч ирсэн бөгөөд сарын дараа энэ нь Snort нэртэй болж, дараа нь бүрэн эрхт IDS/IPS болсон. Үүний зэрэгцээ олон тооны өмчийн шийдлүүд гарч ирэв.
Снорт ба Суриката
Олон компаниуд үнэгүй, нээлттэй эхийн IDS/IPS-ийг илүүд үздэг. Урт хугацааны туршид аль хэдийн дурдсан Snort нь стандарт шийдэл гэж тооцогддог байсан бол одоо Суиката системээр солигдсон байна. Тэдний давуу болон сул талуудыг бага зэрэг нарийвчлан авч үзье. Snort нь гарын үсэгт суурилсан аргын давуу талыг бодит цаг хугацаанд гажиг илрүүлэх чадвартай хослуулсан. Suricata нь гарын үсгээр халдлагыг танихаас гадна өөр аргыг ашиглах боломжийг олгодог. Уг системийг Snort төслөөс тусгаарлагдсан хөгжүүлэгчдийн бүлэг бүтээсэн бөгөөд 1.4 хувилбараас эхлэн IPS функцуудыг дэмждэг бөгөөд Snort нь халдлагаас урьдчилан сэргийлэх боломжийг хожим нэвтрүүлсэн.
Хоёр алдартай бүтээгдэхүүний гол ялгаа нь Suricata-ийн GPU тооцооллыг IDS горимд ашиглах чадвар, түүнчлэн илүү дэвшилтэт IPS юм. Уг систем нь эхлээд олон урсгалтай байхаар бүтээгдсэн бол Snort нь нэг урсгалтай бүтээгдэхүүн юм. Урт түүх, хуучин кодын улмаас энэ нь олон процессор/олон цөмт техник хангамжийн платформуудыг оновчтой ашигладаггүй бол Суриката нь ердийн ерөнхий зориулалтын компьютер дээр 10 Gbps хүртэлх траффикийг зохицуулж чаддаг. Бид хоёр системийн ижил төстэй болон ялгаатай талуудын талаар удаан хугацаанд ярьж болох боловч Суриката хөдөлгүүр илүү хурдан ажилладаг ч хэтэрхий өргөн биш сувгийн хувьд энэ нь тийм ч чухал биш юм.
Байршуулах сонголтууд
IPS нь систем нь өөрийн хяналтан дор байгаа сүлжээний сегментүүдийг хянах боломжтой байхаар байрлуулсан байх ёстой. Ихэнхдээ энэ нь тусгай зориулалтын компьютер бөгөөд нэг интерфэйс нь захын төхөөрөмжүүдийн дараа холбогдож, тэдгээрээр дамжуулан хамгаалалтгүй нийтийн сүлжээнд (Интернэт) "хардаг". Өөр нэг IPS интерфэйс нь хамгаалагдсан сегментийн оролттой холбогдсон бөгөөд ингэснээр бүх урсгал системээр дамжиж, дүн шинжилгээ хийдэг. Илүү төвөгтэй тохиолдолд хэд хэдэн хамгаалагдсан сегмент байж болно: жишээлбэл, корпорацийн сүлжээнд цэрэггүй бүсийг (DMZ) ихэвчлэн интернетээс авах боломжтой үйлчилгээтэй хуваарилдаг.
Ийм IPS нь порт сканнердах, нууц үгээр харгис хэрцгий халдлага хийх, шуудангийн сервер, вэб сервер эсвэл скрипт дэх эмзэг байдлыг ашиглах, түүнчлэн бусад төрлийн гадны халдлагаас урьдчилан сэргийлэх боломжтой. Хэрэв дотоод сүлжээнд байгаа компьютерууд хортой програмаар халдварласан бол IDS нь тэднийг гадна талд байрлах ботнет серверүүдтэй холбогдохыг зөвшөөрөхгүй. Дотоод сүлжээг илүү нухацтай хамгаалахын тулд портуудын аль нэгэнд холбогдсон IDS интерфэйсийн урсгалыг тусгах чадвартай, тархсан систем, үнэтэй удирддаг унтраалга бүхий нарийн төвөгтэй тохиргоо шаардлагатай болно.
Корпорацийн сүлжээнүүд нь ихэвчлэн үйлчилгээ үзүүлэхээс татгалзах (DDoS) халдлагад өртдөг. Хэдийгээр орчин үеийн IDS нь тэдгээрийг шийдвэрлэх боломжтой боловч дээрх байршуулах сонголт нь энд тус болохгүй байх магадлалтай. Систем нь хортой үйлдлийг таньж, хуурамч траффикийг блоклох боловч үүнийг хийхийн тулд пакетууд нь гадаад интернет холболтоор дамжиж, түүний сүлжээний интерфэйстэй байх ёстой. Довтолгооны эрчмээс хамааран өгөгдөл дамжуулах суваг ачааллыг даван туулж чадахгүй бөгөөд халдагчдын зорилго биелнэ. Ийм тохиолдолд бид IDS-ийг илүү хүчирхэг интернет холболттой виртуал сервер дээр байрлуулахыг зөвлөж байна. Та VPS-ийг дотоод сүлжээнд VPN-ээр холбож болох бөгөөд дараа нь түүгээр дамжуулан бүх гадаад траффикийн чиглүүлэлтийн тохиргоог хийх шаардлагатай болно. Дараа нь DDoS халдлага гарсан тохиолдолд та үйлчилгээ үзүүлэгч рүү холболтоор пакет илгээх шаардлагагүй бөгөөд тэдгээр нь гадаад зангилаа дээр хаагдах болно.
Сонгох асуудал
Үнэгүй системүүдийн дунд удирдагчийг тодорхойлох нь маш хэцүү байдаг. IDS/IPS-ийн сонголтыг сүлжээний топологи, шаардлагатай аюулгүй байдлын функцууд, түүнчлэн администраторын хувийн сонголт, тохиргоог хийх хүсэл эрмэлзэлээр тодорхойлдог. Snort нь илүү урт түүхтэй бөгөөд илүү сайн баримтжуулсан боловч Сурикатагийн талаарх мэдээллийг онлайнаар олоход хялбар байдаг. Ямар ч тохиолдолд системийг эзэмшихийн тулд та тодорхой хүчин чармайлт гаргах хэрэгтэй бөгөөд энэ нь эцэстээ үр дүнгээ өгөх болно - арилжааны техник хангамж, техник хангамж-програм хангамжийн IDS/IPS нь нэлээд үнэтэй бөгөөд төсөвт тэр бүр багтдаггүй. Сайн админ үргэлж ажил олгогчийн зардлаар ур чадвараа дээшлүүлдэг тул дэмий цаг алдсандаа харамсах нь утгагүй юм. Ийм нөхцөлд хүн бүр ялна. Дараагийн өгүүллээр бид Suricata-г байршуулах зарим хувилбаруудыг авч үзэх ба илүү орчин үеийн системийг сонгодог IDS/IPS Snort-тай харьцуулах болно.
Эх сурвалж: www.habr.com