Ooit waren een gewone firewall en antivirusprogramma's voldoende om het lokale netwerk te beschermen, maar zo'n set is niet meer effectief genoeg tegen de aanvallen van moderne hackers en de malware die zich de laatste tijd heeft verspreid. De goede oude firewall analyseert alleen pakketheaders en passeert of blokkeert ze in overeenstemming met een reeks formele regels. Het weet niets van de inhoud van de pakketten en kan daarom de uiterlijk legitieme acties van indringers niet herkennen. Antivirusprogramma's vangen niet altijd malware op, dus de beheerder staat voor de taak om afwijkende activiteiten te monitoren en geïnfecteerde hosts tijdig te isoleren.
Er zijn veel geavanceerde tools waarmee u de IT-infrastructuur van het bedrijf kunt beschermen. Vandaag zullen we het hebben over open source systemen voor inbraakdetectie en -preventie die kunnen worden geïmplementeerd zonder dure hardware- en softwarelicenties te kopen.
IDS/IPS-classificatie
IDS (Intrusion Detection System) is een systeem dat ontworpen is om verdachte activiteiten op een netwerk of op een aparte computer te registreren. Het houdt gebeurtenislogboeken bij en stelt de persoon die verantwoordelijk is voor informatiebeveiliging hiervan op de hoogte. De IDS omvat de volgende elementen:
- sensoren voor het bekijken van netwerkverkeer, diverse logs, etc.
- een analysesubsysteem dat tekenen van schadelijke effecten in de ontvangen gegevens detecteert;
- opslag voor accumulatie van primaire gebeurtenissen en analyseresultaten;
- beheerconsole.
Aanvankelijk werden IDS geclassificeerd op locatie: ze konden gericht zijn op het beschermen van individuele knooppunten (hostgebaseerd of Host Intrusion Detection System - HIDS) of het beschermen van het volledige bedrijfsnetwerk (netwerkgebaseerd of Network Intrusion Detection System - NIDS). Het is de moeite waard om de zogenaamde te noemen. APIDS (Application Protocol-based IDS): ze bewaken een beperkte set applicatielaagprotocollen om specifieke aanvallen te detecteren en analyseren geen diepgaande netwerkpakketten. Dergelijke producten lijken meestal op proxy's en worden gebruikt om specifieke services te beschermen: webserver en webapplicaties (bijvoorbeeld geschreven in PHP), databaseservers, enz. Een typische vertegenwoordiger van deze klasse is mod_security voor de Apache-webserver.
We zijn meer geïnteresseerd in universele NIDS die een breed scala aan communicatieprotocollen en DPI-technologieën voor pakketanalyse (Deep Packet Inspection) ondersteunen. Ze monitoren al het passerende verkeer, beginnend vanaf de datalinklaag, en detecteren een breed scala aan netwerkaanvallen, evenals ongeautoriseerde toegang tot informatie. Dergelijke systemen hebben vaak een gedistribueerde architectuur en kunnen communiceren met verschillende actieve netwerkapparatuur. Merk op dat veel moderne NIDS hybride zijn en verschillende benaderingen combineren. Afhankelijk van de configuratie en instellingen kunnen ze verschillende problemen oplossen, bijvoorbeeld door één knooppunt of het hele netwerk te beschermen. Bovendien werden IDS-functies voor werkstations overgenomen door antiviruspakketten, die door de verspreiding van Trojaanse paarden die gericht waren op het stelen van informatie, veranderden in multifunctionele firewalls die ook de taken van het herkennen en blokkeren van verdacht verkeer oplossen.
Aanvankelijk kon IDS alleen malware-activiteit, poortscanners of bijvoorbeeld schendingen van het beveiligingsbeleid van het bedrijf door gebruikers detecteren. Wanneer een bepaalde gebeurtenis plaatsvond, brachten ze de beheerder op de hoogte, maar al snel werd duidelijk dat het alleen herkennen van de aanval niet voldoende was - deze moest worden geblokkeerd. Dus IDS transformeerde in IPS (Intrusion Prevention Systems) - inbraakpreventiesystemen die kunnen interageren met firewalls.
Detectie methoden
Moderne oplossingen voor inbraakdetectie en -preventie gebruiken verschillende methoden om kwaadwillende activiteiten te detecteren, die kunnen worden onderverdeeld in drie categorieën. Dit geeft ons een andere optie voor het classificeren van systemen:
- Op handtekeningen gebaseerde IDS/IPS zoeken naar patronen in het verkeer of bewaken veranderingen in de systeemstatus om een netwerkaanval of infectiepoging te detecteren. Ze geven praktisch geen misfires en false positives, maar zijn niet in staat om onbekende bedreigingen te detecteren;
- Anomalie-detecterende IDS'en gebruiken geen aanvalshandtekeningen. Ze herkennen abnormaal gedrag van informatiesystemen (inclusief afwijkingen in het netwerkverkeer) en kunnen zelfs onbekende aanvallen detecteren. Dergelijke systemen geven nogal wat valse positieven en verlammen bij verkeerd gebruik de werking van het lokale netwerk;
- Op regels gebaseerde IDS'en werken als: als FEIT, dan ACTIE. In feite zijn dit expertsystemen met kennisbanken - een reeks feiten en gevolgtrekkingsregels. Dergelijke oplossingen zijn tijdrovend om in te stellen en vereisen dat de beheerder een gedetailleerd begrip van het netwerk heeft.
Geschiedenis van de ontwikkeling van IDS
Het tijdperk van snelle ontwikkeling van internet en bedrijfsnetwerken begon in de jaren 90 van de vorige eeuw, maar experts waren iets eerder verbaasd over geavanceerde netwerkbeveiligingstechnologieën. In 1986 publiceerden Dorothy Denning en Peter Neumann het IDES-model (Intrusion detection expert system), dat de basis werd van de meeste moderne inbraakdetectiesystemen. Ze gebruikte een expertsysteem om bekende aanvallen te identificeren, evenals statistische methoden en gebruikers-/systeemprofielen. IDES draaide op Sun-werkstations en controleerde netwerkverkeer en applicatiegegevens. In 1993 werd NIDES (Next-generation Intrusion Detection Expert System) uitgebracht - een nieuwe generatie inbraakdetectie-expertsysteem.
Gebaseerd op het werk van Denning en Neumann, verscheen in 1988 het MIDAS-expertsysteem (Multics intrusion detection and alerting system), met behulp van P-BEST en LISP. Tegelijkertijd werd het Haystack-systeem op basis van statistische methoden gecreëerd. Een andere statistische anomaliedetector, W&S (Wisdom & Sense), werd een jaar later ontwikkeld in het Los Alamos National Laboratory. De ontwikkeling van de industrie ging in een snel tempo. In 1990 was bijvoorbeeld al anomaliedetectie geïmplementeerd in het TIM-systeem (Time-based inductive machine) met behulp van inductief leren van sequentiële gebruikerspatronen (Common LISP-taal). NSM (Network Security Monitor) vergeleek toegangsmatrices voor anomaliedetectie en ISOA (Information Security Officer's Assistant) ondersteunde verschillende detectiestrategieën: statistische methoden, profielcontrole en expertsysteem. Het ComputerWatch-systeem dat bij AT & T Bell Labs is gemaakt, gebruikte zowel statistische methoden als regels voor verificatie, en de ontwikkelaars van de Universiteit van Californië ontvingen het eerste prototype van een gedistribueerde IDS in 1991 - DIDS (Distributed Intrusion Detection System) was ook een expert systeem.
In het begin was IDS eigendom, maar al in 1998 van het National Laboratory. Lawrence in Berkeley heeft Bro uitgebracht (omgedoopt tot Zeek in 2018), een open source-systeem dat zijn eigen regeltaal gebruikt voor het ontleden van libpcap-gegevens. In november van hetzelfde jaar verscheen de APE-pakketsniffer met behulp van libpcap, die een maand later werd omgedoopt tot Snort en later een volwaardige IDS / IPS werd. Tegelijkertijd begonnen er tal van eigen oplossingen te verschijnen.
Snort en Suricata
Veel bedrijven geven de voorkeur aan gratis en open source IDS/IPS. Lange tijd werd het reeds genoemde Snort gezien als de standaardoplossing, maar nu is dat vervangen door het Suricata-systeem. Overweeg hun voor- en nadelen in wat meer detail. Snort combineert de voordelen van een handtekeningmethode met real-time anomaliedetectie. Suricata maakt naast de detectie van aanvalshandtekeningen ook andere methoden mogelijk. Het systeem is gemaakt door een groep ontwikkelaars die zich hebben afgesplitst van het Snort-project en ondersteunt IPS-functies sinds versie 1.4, terwijl later inbraakpreventie in Snort verscheen.
Het belangrijkste verschil tussen de twee populaire producten is de mogelijkheid van Suricata om zowel de GPU voor IDS-computing als de meer geavanceerde IPS te gebruiken. Het systeem is oorspronkelijk ontworpen voor multi-threading, terwijl Snort een single-threaded product is. Vanwege zijn lange geschiedenis en verouderde code maakt het niet optimaal gebruik van multi-processor/multi-core hardwareplatforms, terwijl Suricata verkeer tot 10 Gbps aankan op normale computers voor algemeen gebruik. Over de overeenkomsten en verschillen tussen de twee systemen kun je lang praten, maar hoewel de Suricata-engine sneller werkt, maakt het voor niet al te brede kanalen niet uit.
Implementatie opties
IPS moet zo worden geplaatst dat het systeem de netwerksegmenten onder zijn controle kan bewaken. Meestal is dit een speciale computer, waarvan één interface verbinding maakt met de edge-apparaten en er doorheen "kijkt" naar onbeveiligde openbare netwerken (internet). Een andere IPS-interface is verbonden met de ingang van het beveiligde segment, zodat al het verkeer door het systeem gaat en wordt geanalyseerd. In complexere gevallen kunnen er meerdere beschermde segmenten zijn: in bedrijfsnetwerken wordt bijvoorbeeld vaak een gedemilitariseerde zone (DMZ) toegewezen met services die toegankelijk zijn via internet.
Zo'n IPS kan poortscanning of brute-force-aanvallen, het uitbuiten van kwetsbaarheden in de mailserver, webserver of scripts en andere vormen van externe aanvallen voorkomen. Als de computers op het lokale netwerk zijn geïnfecteerd met malware, staat IDS niet toe dat ze contact maken met de botnetservers die zich daarbuiten bevinden. Een serieuzere bescherming van het interne netwerk vereist hoogstwaarschijnlijk een complexe configuratie met een gedistribueerd systeem en dure beheerde schakelaars die in staat zijn om verkeer te spiegelen voor een IDS-interface die is aangesloten op een van de poorten.
Vaak zijn bedrijfsnetwerken het slachtoffer van gedistribueerde denial-of-service (DDoS)-aanvallen. Hoewel moderne IDS'en hiermee overweg kunnen, biedt de bovenstaande implementatieoptie hier weinig soelaas. Het systeem herkent kwaadaardige activiteiten en blokkeert oneigenlijk verkeer, maar hiervoor moeten de pakketten via een externe internetverbinding gaan en de netwerkinterface bereiken. Afhankelijk van de intensiteit van de aanval kan het datatransmissiekanaal de belasting mogelijk niet aan en wordt het doel van de aanvallers bereikt. Voor dergelijke gevallen raden we aan om IDS te implementeren op een virtuele server met een bekende betere internetverbinding. Je kunt de VPS via een VPN verbinden met het lokale netwerk, en dan moet je de routering van al het externe verkeer er doorheen configureren. Dan hoef je bij een DDoS-aanval geen pakketten door de verbinding naar de provider te sturen, maar worden ze geblokkeerd op de externe host.
Keuzeprobleem
Het is erg moeilijk om een leider te identificeren tussen gratis systemen. De keuze voor IDS / IPS wordt bepaald door de netwerktopologie, de nodige beveiligingsfuncties, maar ook door de persoonlijke voorkeuren van de beheerder en zijn wens om met de instellingen te rommelen. Snort heeft een langere geschiedenis en is beter gedocumenteerd, hoewel informatie over Suricata ook gemakkelijk online te vinden is. Om het systeem onder de knie te krijgen, zul je in ieder geval wat moeite moeten doen, wat uiteindelijk zijn vruchten zal afwerpen - commerciële hardware en hardware-software IDS / IPS zijn vrij duur en passen niet altijd in het budget. Je moet geen spijt hebben van de tijd die je hebt besteed, want een goede beheerder verbetert zijn kwalificaties altijd ten koste van de werkgever. In deze situatie wint iedereen. In het volgende artikel bekijken we enkele mogelijkheden om Suricata in te zetten en vergelijken we het modernere systeem met het klassieke IDS/IPS Snort in de praktijk.
Bron: www.habr.com