Darba, firewall ordinarju u programmi kontra l-virus kienu biżżejjed biex jipproteġu netwerk lokali, iżda sett bħal dan m'għadux effettiv biżżejjed kontra l-attakki tal-hackers moderni u l-malware li prolifera reċentement. Firewall antik tajjeb janalizza biss headers tal-pakketti, li jippermetti jew jimblokkahom skont sett ta 'regoli formali. Ma jaf xejn dwar il-kontenut tal-pakketti, u għalhekk ma jistax jirrikonoxxi l-azzjonijiet apparentement leġittimi tal-attakkanti. Il-programmi antivirus mhux dejjem jaqbdu l-malware, għalhekk l-amministratur huwa ffaċċjat bil-kompitu li jimmonitorja l-attività anormali u jiżola f'waqtu hosts infettati.
Hemm ħafna għodod avvanzati disponibbli biex jipproteġu l-infrastruttura tal-IT tal-kumpanija. Illum se nitkellmu dwar sistemi ta' skoperta u prevenzjoni ta' intrużjoni ta' sors miftuħ, li jistgħu jiġu implimentati mingħajr ma jinxtraw tagħmir u liċenzji tas-softwer għaljin.
Klassifikazzjoni IDS/IPS
IDS (Intrusion Detection System) hija sistema mfassla biex tirreġistra attivitajiet suspettużi fuq netwerk jew fuq kompjuter individwali. Iżomm reġistru tal-avvenimenti u jinnotifika lill-impjegat responsabbli għas-sigurtà tal-informazzjoni dwarhom. L-elementi li ġejjin jistgħu jiġu distinti bħala parti mill-IDS:
- sensuri għall-wiri tat-traffiku tan-netwerk, zkuk varji, eċċ.
- sottosistema ta' analiżi li tidentifika sinjali ta' influwenza malizzjuża fid-dejta riċevuta;
- Ħażna għall-akkumulazzjoni ta' avvenimenti primarji u riżultati ta' analiżi;
- console ta' ġestjoni.
Inizjalment, l-IDS kienu kklassifikati skont il-lokalità: setgħu jiġu ffukati fuq il-protezzjoni ta' nodi individwali (host-based jew Host Intrusion Detection System - HIDS) jew il-protezzjoni tan-netwerk korporattiv kollu (ibbażat fuq in-netwerk jew Network Intrusion Detection System - NIDS). Ta’ min isemmi l-hekk imsejjaħ APIDS (Application protocol-based IDS): Huma jimmonitorjaw sett limitat ta 'protokolli fil-livell tal-applikazzjoni biex jidentifikaw attakki speċifiċi u ma jagħmlux analiżi profonda ta' pakketti tan-netwerk. Prodotti bħal dawn ġeneralment jixbħu prokuri u jintużaw biex jipproteġu servizzi speċifiċi: server tal-web u applikazzjonijiet tal-web (per eżempju, miktuba bil-PHP), server tad-database, eċċ. Eżempju tipiku ta 'din il-klassi huwa mod_security għas-server tal-web Apache.
Aħna aktar interessati f'NIDS universali li jappoġġjaw firxa wiesgħa ta 'protokolli ta' komunikazzjoni u teknoloġiji DPI (Deep Packet Inspection). Jissorveljaw it-traffiku kollu li jgħaddi, li jibda mis-saff tal-link tad-dejta, u jiskopri firxa wiesgħa ta 'attakki tan-netwerk, kif ukoll attentati ta' aċċess mhux awtorizzat għall-informazzjoni. Ħafna drabi dawn is-sistemi għandhom arkitettura distribwita u jistgħu jinteraġixxu ma 'diversi tagħmir tan-netwerk attiv. Innota li ħafna NIDS moderni huma ibridi u jgħaqqdu diversi approċċi. Skont il-konfigurazzjoni u s-settings, jistgħu jsolvu diversi problemi - pereżempju, jipproteġu nodu wieħed jew in-netwerk kollu. Barra minn hekk, il-funzjonijiet tal-IDS għall-istazzjonijiet tax-xogħol ttieħdu minn pakketti kontra l-virus, li, minħabba t-tixrid ta 'trojans immirati lejn is-serq tal-informazzjoni, inbidel f'firewalls multifunzjonali li jsolvu wkoll il-problemi ta' rikonoxximent u imblukkar ta 'traffiku suspettuż.
Inizjalment, IDS setgħet biss tiskopri attività malware, skaners tal-port, jew, ngħidu aħna, ksur tal-utenti tal-politiki tas-sigurtà korporattiva. Meta seħħ ċertu avveniment, innotifikaw lill-amministratur, iżda malajr deher ċar li sempliċement li wieħed jagħraf l-attakk ma kienx biżżejjed - kien jeħtieġ li jiġi mblukkat. Allura l-IDS ġew trasformati f'IPS (Intrusion Prevention Systems) - sistemi ta 'prevenzjoni tal-intrużjoni li kapaċi jinteraġixxu ma' firewalls.
Metodi ta' skoperta
Soluzzjonijiet moderni ta 'skoperta u prevenzjoni ta' intrużjoni jużaw varjetà ta 'metodi biex jidentifikaw attività malizzjuża, li tista' tinqasam fi tliet kategoriji. Dan jagħtina għażla oħra għall-klassifikazzjoni tas-sistemi:
- IDS/IPS ibbażati fuq il-firma jiskopru mudelli fit-traffiku jew jimmonitorjaw bidliet fl-istat tas-sistemi biex jiddeterminaw attakk tan-netwerk jew attentat ta 'infezzjoni. Prattikament ma jagħtux misfires u pożittivi foloz, iżda mhumiex kapaċi jidentifikaw theddid mhux magħruf;
- IDSs li jiskopru anomaliji ma jużawx firem tal-attakk. Huma jirrikonoxxu mġiba anormali tas-sistemi tal-informazzjoni (inklużi anomaliji fit-traffiku tan-netwerk) u jistgħu saħansitra jiskopru attakki mhux magħrufa. Sistemi bħal dawn jagħtu pjuttost ħafna pożittivi foloz u, jekk jintużaw ħażin, jipparalizzaw l-operat tan-netwerk lokali;
- IDS ibbażat fuq ir-regoli jaħdmu fuq il-prinċipju: jekk FATT imbagħad AZZJONI. Essenzjalment, dawn huma sistemi esperti b'bażijiet ta 'għarfien - sett ta' fatti u regoli ta 'inferenza loġika. Soluzzjonijiet bħal dawn huma intensivi fil-ħidma biex jitwaqqfu u jeħtieġu li l-amministratur ikollu fehim dettaljat tan-netwerk.
Storja ta 'żvilupp IDS
L-era ta 'żvilupp mgħaġġel ta' l-Internet u n-netwerks korporattivi bdiet fis-snin 90 tas-seklu li għadda, iżda l-esperti kienu mħawda minn teknoloġiji avvanzati tas-sigurtà tan-netwerk ftit qabel. Fl-1986, Dorothy Denning u Peter Neumann ippubblikaw il-mudell IDES (sistema esperta ta 'detezzjoni ta' intrużjoni), li sar il-bażi tal-biċċa l-kbira tas-sistemi moderni ta 'detezzjoni ta' intrużjoni. Hija użat sistema esperta biex tidentifika tipi ta 'attakki magħrufa, kif ukoll metodi statistiċi u profili tal-utent/sistema. IDES dam fuq stazzjonijiet tax-xogħol Sun, jispezzjona t-traffiku tan-netwerk u d-dejta tal-applikazzjoni. Fl-1993, ġiet rilaxxata NIDES (Sistema ta 'Esperti ta' Sejbien ta 'Intrużjoni tal-ġenerazzjoni li jmiss) - sistema esperta ta' skoperta ta 'intrużjoni ta' ġenerazzjoni ġdida.
Ibbażat fuq ix-xogħol ta 'Denning u Neumann, is-sistema esperta MIDAS (sistema ta' skoperta u twissija ta 'intrużjoni Multi) li tuża P-BEST u LISP dehret fl-1988. Fl-istess ħin, inħolqot is-sistema Haystack ibbażata fuq metodi statistiċi. Rilevatur ieħor ta' anomaliji statistiku, W&S (Wisdom & Sense), ġie żviluppat sena wara fil-Laboratorju Nazzjonali ta' Los Alamos. L-industrija kienet qed tiżviluppa b'pass mgħaġġel. Pereżempju, fl-1990, is-sistema TIM (Time-based inductive machine) diġà implimentat skoperta ta 'anomalija bl-użu ta' tagħlim induttiv fuq mudelli sekwenzjali tal-utent (lingwa LISP Komuni). L-NSM (Monitor tas-Sigurtà tan-Netwerk) qabbel matriċi ta 'aċċess biex jiskopri anomaliji, u ISOA (Assistent tal-Uffiċjal tas-Sigurtà tal-Informazzjoni) appoġġja diversi strateġiji ta' skoperta: metodi statistiċi, verifika tal-profili u sistema esperta. Is-sistema ComputerWatch maħluqa f'AT&T Bell Labs użat metodi u regoli statistiċi għall-verifika, u l-iżviluppaturi tal-Università ta 'Kalifornja rċevew l-ewwel prototip ta' IDS distribwit lura fl-1991 - DIDS (Distributed Intrusion Detection System) kienet ukoll sistema esperta.
Għall-ewwel, IDS kienu proprjetarji, iżda diġà fl-1998, il-Laboratorju Nazzjonali. Lawrence Berkeley ħareġ Bro (imsemmi Zeek fl-2018), sistema ta 'sors miftuħ li tuża lingwa ta' regoli proprjetarja għall-analiżi tad-dejta libpcap. F'Novembru tal-istess sena, deher l-APE packet sniffer bl-użu ta 'libpcap, li xahar wara ngħata l-isem ġdid ta' Snort, u aktar tard sar IDS/IPS sħiħ. Fl-istess ħin, bdew jidhru bosta soluzzjonijiet proprjetarji.
Snort u Suricata
Ħafna kumpaniji jippreferu IDS/IPS b'xejn u b'sors miftuħ. Għal żmien twil, is-Snort diġà msemmi kien meqjus bħala s-soluzzjoni standard, iżda issa ġie sostitwit mis-sistema Suricata. Ejja nħarsu lejn il-vantaġġi u l-iżvantaġġi tagħhom fi ftit aktar dettall. Snort jgħaqqad il-benefiċċji ta 'metodu bbażat fuq il-firma mal-kapaċità li jiskopru anomaliji f'ħin reali. Suricata jippermettilek ukoll li tuża metodi oħra minbarra li tirrikonoxxi l-attakki bil-firem. Is-sistema nħolqot minn grupp ta 'żviluppaturi separati mill-proġett Snort u tappoġġja funzjonijiet IPS li jibdew mill-verżjoni 1.4, u Snort introduċa l-abbiltà li tipprevjeni intrużjonijiet aktar tard.
Id-differenza ewlenija bejn iż-żewġ prodotti popolari hija l-abbiltà ta 'Suricata li tuża l-kompjuters GPU fil-modalità IDS, kif ukoll l-IPS aktar avvanzati. Is-sistema hija inizjalment iddisinjata għal multi-threading, filwaqt li Snort huwa prodott b'ħajt wieħed. Minħabba l-istorja twila u l-kodiċi wirt tiegħu, ma jużax bl-aħjar mod pjattaformi ta 'hardware multiprocessor/multicore, filwaqt li Suricata jista' jimmaniġġja traffiku sa 10 Gbps fuq kompjuters regolari għal skopijiet ġenerali. Nistgħu nitkellmu għal żmien twil dwar ix-xebh u d-differenzi bejn iż-żewġ sistemi, iżda għalkemm il-magna Suricata taħdem aktar malajr, għal kanali mhux wesgħin wisq dan mhuwiex ta 'importanza fundamentali.
Għażliet ta' Skjerament
L-IPS għandu jitqiegħed b'tali mod li s-sistema tkun tista' timmonitorja s-segmenti tan-netwerk taħt il-kontroll tagħha. Ħafna drabi, dan huwa kompjuter iddedikat, li waħda minnha interface hija konnessa wara l-apparat tat-tarf u "tħares" permezz tagħhom f'netwerks pubbliċi mhux protetti (l-Internet). Interface IPS ieħor huwa konness mal-input tas-segment protett sabiex it-traffiku kollu jgħaddi mis-sistema u jiġi analizzat. F'każijiet aktar kumplessi, jista 'jkun hemm diversi segmenti protetti: pereżempju, f'netwerks korporattivi żona demilitarizzata (DMZ) spiss tiġi allokata b'servizzi aċċessibbli mill-Internet.
Tali IPS jista 'jipprevjeni attakki ta' skanjar tal-port jew password brute force, sfruttament ta 'vulnerabbiltajiet fis-server tal-posta, server tal-web jew skripts, kif ukoll tipi oħra ta' attakki esterni. Jekk il-kompjuters fuq in-netwerk lokali huma infettati b'malware, l-IDS mhux se jippermettilhom jikkuntattjaw is-servers tal-botnet li jinsabu barra. Għal protezzjoni aktar serja tan-netwerk intern, aktarx tkun meħtieġa konfigurazzjoni kumplessa b'sistema distribwita u swiċċijiet ġestiti għaljin li kapaċi jirriflettu t-traffiku għall-interface IDS konness ma' wieħed mill-portijiet.
In-netwerks korporattivi ħafna drabi huma soġġetti għal attakki ta' ċaħda ta' servizz distribwit (DDoS). Għalkemm l-IDS moderni jistgħu jittrattawhom, l-għażla ta 'skjerament ta' hawn fuq x'aktarx li ma tgħinx hawn. Is-sistema tirrikonoxxi attività malizzjuża u timblokka t-traffiku falz, iżda biex tagħmel dan, il-pakketti jridu jgħaddu minn konnessjoni esterna tal-Internet u jilħqu l-interface tan-netwerk tagħha. Skont l-intensità tal-attakk, il-kanal tat-trażmissjoni tad-dejta jista 'ma jkunx kapaċi jlaħħaq mat-tagħbija u l-għan tal-attakkanti jintlaħaq. Għal każijiet bħal dawn, nirrakkomandaw li tuża IDS fuq server virtwali b'konnessjoni tal-Internet ovvjament aktar qawwija. Tista 'tqabbad il-VPS man-netwerk lokali permezz ta' VPN, u mbagħad ikollok bżonn tikkonfigura r-rotot tat-traffiku estern kollu minnu. Imbagħad, fil-każ ta 'attakk DDoS, ma jkollokx għalfejn tibgħat pakketti permezz tal-konnessjoni lill-fornitur; dawn se jiġu mblukkati fuq in-nodu estern.
Problema fl-għażla
Huwa diffiċli ħafna li tidentifika mexxej fost is-sistemi ħielsa. L-għażla ta 'IDS/IPS hija ddeterminata mit-topoloġija tan-netwerk, il-funzjonijiet ta' sigurtà meħtieġa, kif ukoll il-preferenzi personali tal-amministratur u x-xewqa tiegħu li jinkera mas-settings. Snort għandu storja itwal u huwa dokumentat aħjar, għalkemm informazzjoni dwar Suricata hija wkoll faċli biex issibha online. Fi kwalunkwe każ, biex tikkontrolla s-sistema ser ikollok tagħmel xi sforzi, li eventwalment iħallsu - ħardwer kummerċjali u ħardwer-software IDS/IPS huma pjuttost għoljin u mhux dejjem jidħlu fil-baġit. M'hemm l-ebda skop li jiddispjaċih mill-ħin moħli, għax admin tajjeb dejjem itejjeb il-ħiliet tiegħu għad-detriment ta 'min iħaddem. F'din is-sitwazzjoni, kulħadd jirbaħ. Fl-artiklu li jmiss se nħarsu lejn xi għażliet ta 'skjerament ta' Suricata u nqabblu sistema aktar moderna mal-klassika IDS/IPS Snort fil-prattika.
Sors: www.habr.com