Pada suatu masa dahulu, tembok api biasa dan program anti-virus sudah cukup untuk melindungi rangkaian tempatan, tetapi set sedemikian tidak lagi cukup berkesan terhadap serangan penggodam moden dan perisian hasad yang telah berkembang pesat baru-baru ini. Firewall lama yang baik hanya menganalisis pengepala paket, membenarkan atau menyekatnya mengikut satu set peraturan rasmi. Ia tidak mengetahui apa-apa tentang kandungan paket, dan oleh itu tidak dapat mengenali tindakan penyerang yang kelihatan sah. Program antivirus tidak selalu menangkap perisian hasad, jadi pentadbir berhadapan dengan tugas memantau aktiviti tidak normal dan mengasingkan hos yang dijangkiti tepat pada masanya.
Terdapat banyak alat canggih yang tersedia untuk melindungi infrastruktur IT syarikat. Hari ini kita akan bercakap tentang sistem pengesanan dan pencegahan pencerobohan sumber terbuka, yang boleh dilaksanakan tanpa membeli peralatan mahal dan lesen perisian.
Klasifikasi IDS/IPS
IDS (Intrusion Detection System) ialah sistem yang direka untuk mendaftarkan aktiviti yang mencurigakan pada rangkaian atau pada komputer individu. Ia menyimpan log peristiwa dan memberitahu pekerja yang bertanggungjawab untuk keselamatan maklumat tentang mereka. Elemen berikut boleh dibezakan sebagai sebahagian daripada IDS:
- penderia untuk melihat trafik rangkaian, pelbagai log, dsb.
- subsistem analisis yang mengenal pasti tanda-tanda pengaruh jahat dalam data yang diterima;
- penyimpanan untuk pengumpulan peristiwa utama dan keputusan analisis;
- konsol pengurusan.
Pada mulanya, IDS diklasifikasikan mengikut lokasi: ia boleh ditumpukan pada melindungi nod individu (berasaskan hos atau Sistem Pengesan Pencerobohan Hos - HIDS) atau melindungi keseluruhan rangkaian korporat (berasaskan rangkaian atau Sistem Pengesanan Pencerobohan Rangkaian - NIDS). Ia bernilai menyebut apa yang dipanggil APIDS (IDS berasaskan protokol aplikasi): Mereka memantau set terhad protokol peringkat aplikasi untuk mengenal pasti serangan tertentu dan tidak melakukan analisis mendalam bagi paket rangkaian. Produk sedemikian biasanya menyerupai proksi dan digunakan untuk melindungi perkhidmatan tertentu: pelayan web dan aplikasi web (contohnya, ditulis dalam PHP), pelayan pangkalan data, dsb. Contoh biasa kelas ini ialah mod_security untuk pelayan web Apache.
Kami lebih berminat dengan NIDS universal yang menyokong pelbagai protokol komunikasi dan teknologi DPI (Deep Packet Inspection). Mereka memantau semua lalu lintas yang lalu, bermula dari lapisan pautan data, dan mengesan pelbagai serangan rangkaian, serta percubaan untuk mengakses maklumat tanpa kebenaran. Selalunya sistem sedemikian mempunyai seni bina teragih dan boleh berinteraksi dengan pelbagai peralatan rangkaian aktif. Ambil perhatian bahawa banyak NIDS moden adalah hibrid dan menggabungkan beberapa pendekatan. Bergantung pada konfigurasi dan tetapan, mereka boleh menyelesaikan pelbagai masalah - contohnya, melindungi satu nod atau keseluruhan rangkaian. Di samping itu, fungsi IDS untuk stesen kerja telah diambil alih oleh pakej anti-virus, yang, disebabkan oleh penyebaran Trojan yang bertujuan untuk mencuri maklumat, bertukar menjadi tembok api pelbagai fungsi yang juga menyelesaikan masalah mengenali dan menyekat lalu lintas yang mencurigakan.
Pada mulanya, IDS hanya dapat mengesan aktiviti perisian hasad, pengimbas port atau, katakan, pelanggaran dasar keselamatan korporat oleh pengguna. Apabila peristiwa tertentu berlaku, mereka memberitahu pentadbir, tetapi dengan cepat menjadi jelas bahawa hanya mengiktiraf serangan itu tidak mencukupi - ia perlu disekat. Jadi IDS telah diubah menjadi IPS (Intrusion Prevention Systems) - sistem pencegahan pencerobohan yang mampu berinteraksi dengan tembok api.
Kaedah pengesanan
Penyelesaian pengesanan dan pencegahan pencerobohan moden menggunakan pelbagai kaedah untuk mengenal pasti aktiviti berniat jahat, yang boleh dibahagikan kepada tiga kategori. Ini memberi kita satu lagi pilihan untuk mengklasifikasikan sistem:
- IDS/IPS berasaskan tandatangan mengesan corak dalam trafik atau memantau perubahan dalam keadaan sistem untuk menentukan serangan rangkaian atau percubaan jangkitan. Mereka boleh dikatakan tidak memberikan kesilapan dan positif palsu, tetapi tidak dapat mengenal pasti ancaman yang tidak diketahui;
- IDS pengesan anomali tidak menggunakan tandatangan serangan. Mereka mengenali tingkah laku abnormal sistem maklumat (termasuk anomali dalam trafik rangkaian) dan juga boleh mengesan serangan yang tidak diketahui. Sistem sedemikian memberikan banyak positif palsu dan, jika digunakan secara salah, melumpuhkan operasi rangkaian tempatan;
- IDS berasaskan peraturan berfungsi berdasarkan prinsip: jika FAKTA maka TINDAKAN. Pada dasarnya, ini adalah sistem pakar dengan asas pengetahuan - satu set fakta dan peraturan inferens logik. Penyelesaian sedemikian adalah intensif buruh untuk disediakan dan memerlukan pentadbir mempunyai pemahaman terperinci tentang rangkaian.
Sejarah pembangunan IDS
Era perkembangan pesat Internet dan rangkaian korporat bermula pada tahun 90-an abad yang lalu, tetapi pakar hairan dengan teknologi keselamatan rangkaian termaju sedikit lebih awal. Pada tahun 1986, Dorothy Denning dan Peter Neumann menerbitkan model IDES (Intrusion detection expert system), yang menjadi asas kepada kebanyakan sistem pengesanan pencerobohan moden. Ia menggunakan sistem pakar untuk mengenal pasti jenis serangan yang diketahui, serta kaedah statistik dan profil pengguna/sistem. IDES dijalankan pada stesen kerja Sun, memeriksa trafik rangkaian dan data aplikasi. Pada tahun 1993, NIDES (Sistem Pakar Pengesan Pencerobohan Generasi Seterusnya) telah dikeluarkan - sistem pakar pengesanan pencerobohan generasi baharu.
Berdasarkan kerja Denning dan Neumann, sistem pakar MIDAS (Multics intrusion detection and alerting system) menggunakan P-BEST dan LISP muncul pada tahun 1988. Pada masa yang sama, sistem Haystack berdasarkan kaedah statistik telah dicipta. Satu lagi pengesan anomali statistik, W&S (Wisdom & Sense), telah dibangunkan setahun kemudian di Los Alamos National Laboratory. Industri ini berkembang dengan pantas. Sebagai contoh, pada tahun 1990, sistem TIM (Mesin induktif berasaskan masa) telah melaksanakan pengesanan anomali menggunakan pembelajaran induktif pada corak pengguna berjujukan (bahasa LISP biasa). NSM (Pemantau Keselamatan Rangkaian) membandingkan matriks akses untuk mengesan anomali, dan ISOA (Pembantu Pegawai Keselamatan Maklumat) menyokong pelbagai strategi pengesanan: kaedah statistik, semakan profil dan sistem pakar. Sistem ComputerWatch yang dicipta di AT&T Bell Labs menggunakan kaedah statistik dan peraturan untuk pengesahan, dan pembangun University of California menerima prototaip pertama IDS yang diedarkan pada tahun 1991 - DIDS (Distributed Intrusion Detection System) juga merupakan sistem pakar.
Pada mulanya, IDS adalah proprietari, tetapi sudah pada tahun 1998, Makmal Kebangsaan. Lawrence Berkeley mengeluarkan Bro (dinamakan semula Zeek pada 2018), sistem sumber terbuka yang menggunakan bahasa peraturan proprietari untuk menganalisis data libpcap. Pada bulan November tahun yang sama, penghidu paket APE menggunakan libpcap muncul, yang sebulan kemudian dinamakan semula Snort, dan kemudiannya menjadi IDS/IPS sepenuhnya. Pada masa yang sama, banyak penyelesaian proprietari mula muncul.
Snort dan Suricata
Banyak syarikat lebih suka IDS/IPS sumber terbuka dan percuma. Untuk masa yang lama, Snort yang telah disebutkan telah dianggap sebagai penyelesaian standard, tetapi kini ia telah digantikan oleh sistem Suricata. Mari kita lihat kelebihan dan kekurangan mereka dengan lebih terperinci. Snort menggabungkan faedah kaedah berasaskan tandatangan dengan keupayaan untuk mengesan anomali dalam masa nyata. Suricata juga membenarkan anda menggunakan kaedah lain selain mengenali serangan melalui tandatangan. Sistem ini dicipta oleh sekumpulan pembangun yang dipisahkan daripada projek Snort dan menyokong fungsi IPS bermula dari versi 1.4, dan Snort memperkenalkan keupayaan untuk mencegah pencerobohan kemudian.
Perbezaan utama antara dua produk popular ialah keupayaan Suricata untuk menggunakan pengkomputeran GPU dalam mod IDS, serta IPS yang lebih maju. Sistem ini pada mulanya direka untuk multi-threading, manakala Snort ialah produk single-threading. Disebabkan sejarah panjang dan kod warisannya, ia tidak menggunakan platform perkakasan berbilang pemproses/berbilang teras secara optimum, manakala Suricata boleh mengendalikan trafik sehingga 10 Gbps pada komputer tujuan umum biasa. Kita boleh bercakap untuk masa yang lama tentang persamaan dan perbezaan antara kedua-dua sistem, tetapi walaupun enjin Suricata berfungsi lebih cepat, untuk saluran yang tidak terlalu luas ini tidak penting.
Pilihan Kerahan
IPS mesti diletakkan sedemikian rupa sehingga sistem boleh memantau segmen rangkaian di bawah kawalannya. Selalunya, ini adalah komputer khusus, satu antara muka yang disambungkan selepas peranti tepi dan "melihat" melaluinya ke dalam rangkaian awam yang tidak dilindungi (Internet). Antara muka IPS lain disambungkan kepada input segmen yang dilindungi supaya semua trafik melalui sistem dan dianalisis. Dalam kes yang lebih kompleks, mungkin terdapat beberapa segmen yang dilindungi: contohnya, dalam rangkaian korporat zon demilitarisasi (DMZ) sering diperuntukkan dengan perkhidmatan yang boleh diakses daripada Internet.
IPS sedemikian boleh menghalang pengimbasan port atau serangan brute force kata laluan, eksploitasi kelemahan dalam pelayan mel, pelayan web atau skrip, serta jenis serangan luaran yang lain. Jika komputer di rangkaian tempatan dijangkiti perisian hasad, IDS tidak akan membenarkan mereka menghubungi pelayan botnet yang terletak di luar. Untuk perlindungan rangkaian dalaman yang lebih serius, konfigurasi kompleks dengan sistem teragih dan suis terurus mahal yang mampu mencerminkan trafik untuk antara muka IDS yang disambungkan ke salah satu port kemungkinan besar akan diperlukan.
Rangkaian korporat selalunya tertakluk kepada serangan penafian perkhidmatan (DDoS) teragih. Walaupun IDS moden boleh menanganinya, pilihan penggunaan di atas tidak mungkin membantu di sini. Sistem akan mengenali aktiviti berniat jahat dan menyekat lalu lintas palsu, tetapi untuk melakukan ini, paket mesti melalui sambungan Internet luaran dan mencapai antara muka rangkaiannya. Bergantung pada keamatan serangan, saluran penghantaran data mungkin tidak dapat menampung beban dan matlamat penyerang akan tercapai. Untuk kes sedemikian, kami mengesyorkan agar anda menggunakan IDS pada pelayan maya dengan sambungan Internet yang jelas lebih berkuasa. Anda boleh menyambungkan VPS ke rangkaian tempatan melalui VPN, dan kemudian anda perlu mengkonfigurasi penghalaan semua trafik luaran melaluinya. Kemudian, sekiranya berlaku serangan DDoS, anda tidak perlu menghantar paket melalui sambungan kepada pembekal; ia akan disekat pada nod luaran.
Masalah pilihan
Sangat sukar untuk mengenal pasti pemimpin di kalangan sistem bebas. Pilihan IDS/IPS ditentukan oleh topologi rangkaian, fungsi keselamatan yang diperlukan, serta pilihan peribadi pentadbir dan keinginannya untuk bermain-main dengan tetapan. Snort mempunyai sejarah yang lebih panjang dan didokumenkan dengan lebih baik, walaupun maklumat tentang Suricata juga mudah dicari dalam talian. Walau apa pun, untuk menguasai sistem anda perlu melakukan beberapa usaha, yang akhirnya akan membuahkan hasil - perkakasan komersial dan perisian perkakasan IDS/IPS agak mahal dan tidak selalunya sesuai dengan bajet. Tidak ada gunanya menyesali masa yang terbuang, kerana admin yang baik sentiasa meningkatkan kemahirannya dengan mengorbankan majikan. Dalam keadaan ini, semua orang menang. Dalam artikel seterusnya kita akan melihat beberapa pilihan penggunaan Suricata dan membandingkan sistem yang lebih moden dengan IDS/IPS Snort klasik dalam amalan.
Sumber: www.habr.com