En gang i tiden var en vanlig brannmur og antivirusprogrammer nok til å beskytte det lokale nettverket, men et slikt sett er ikke lenger effektivt nok mot angrep fra moderne hackere og skadevare som nylig har spredt seg. Den gode gamle brannmuren analyserer bare pakkehoder, sender eller blokkerer dem i samsvar med et sett med formelle regler. Den vet ikke noe om innholdet i pakkene, og kan derfor ikke gjenkjenne inntrengeres ytre legitime handlinger. Antivirusprogrammer fanger ikke alltid skadelig programvare, så administratoren står overfor oppgaven med å overvåke uregelmessig aktivitet og isolere infiserte verter i tide.
Det finnes mange avanserte verktøy som lar deg beskytte selskapets IT-infrastruktur. I dag skal vi snakke om åpen kildekode for inntrengningsdeteksjon og forebyggingssystemer som kan implementeres uten å kjøpe dyre maskinvare- og programvarelisenser.
IDS/IPS klassifisering
IDS (Intrusion Detection System) er et system designet for å registrere mistenkelige aktiviteter på et nettverk eller på en egen datamaskin. Den opprettholder hendelseslogger og varsler den ansvarlige for informasjonssikkerhet om dem. IDS inkluderer følgende elementer:
- sensorer for visning av nettverkstrafikk, ulike logger, etc.
- et analyseundersystem som oppdager tegn på skadelige effekter i de mottatte dataene;
- lagring for akkumulering av primærhendelser og analyseresultater;
- administrasjonskonsoll.
Opprinnelig ble IDS klassifisert etter plassering: de kunne være fokusert på å beskytte individuelle noder (vertsbasert eller Host Intrusion Detection System - HIDS) eller beskytte hele bedriftens nettverk (nettverksbasert eller Network Intrusion Detection System - NIDS). Det er verdt å nevne den såkalte. APIDS (Application Protocol-based IDS): de overvåker et begrenset sett med applikasjonslagsprotokoller for å oppdage spesifikke angrep og analyserer ikke nettverkspakker dypt. Slike produkter ligner vanligvis på proxyer og brukes til å beskytte spesifikke tjenester: webserver og webapplikasjoner (for eksempel skrevet i PHP), databaseservere, etc. En typisk representant for denne klassen er mod_security for Apache-nettserveren.
Vi er mer interessert i universelle NIDS som støtter et bredt spekter av kommunikasjonsprotokoller og DPI (Deep Packet Inspection) pakkeanalyseteknologier. De overvåker all passerende trafikk, fra datalinklaget, og oppdager et bredt spekter av nettverksangrep, samt uautorisert tilgang til informasjon. Ofte har slike systemer en distribuert arkitektur og kan samhandle med forskjellig aktivt nettverksutstyr. Merk at mange moderne NIDS er hybride og kombinerer flere tilnærminger. Avhengig av konfigurasjonen og innstillingene kan de løse ulike problemer - for eksempel å beskytte en node eller hele nettverket. I tillegg ble IDS-funksjoner for arbeidsstasjoner overtatt av antiviruspakker, som på grunn av spredningen av trojanere rettet mot å stjele informasjon, ble til multifunksjonelle brannmurer som også løser oppgavene med å gjenkjenne og blokkere mistenkelig trafikk.
I utgangspunktet kunne IDS bare oppdage skadelig programvare, portskannere eller for eksempel brukerbrudd på bedriftens sikkerhetspolicyer. Når en bestemt hendelse inntraff, varslet de administratoren, men det ble raskt klart at det ikke var nok å bare gjenkjenne angrepet - det måtte blokkeres. Så IDS forvandlet til IPS (Intrusion Prevention Systems) - inntrengningsforebyggende systemer som kan samhandle med brannmurer.
Deteksjonsmetoder
Moderne inntrengningsdeteksjons- og forebyggingsløsninger bruker ulike metoder for å oppdage ondsinnet aktivitet, som kan deles inn i tre kategorier. Dette gir oss et annet alternativ for å klassifisere systemer:
- Signaturbasert IDS/IPS ser etter mønstre i trafikk eller overvåker systemtilstandsendringer for å oppdage et nettverksangrep eller infeksjonsforsøk. De gir praktisk talt ikke feiltenninger og falske positiver, men er ikke i stand til å oppdage ukjente trusler;
- Anomali-oppdagende IDS-er bruker ikke angrepssignaturer. De gjenkjenner unormal oppførsel til informasjonssystemer (inkludert anomalier i nettverkstrafikk) og kan oppdage til og med ukjente angrep. Slike systemer gir ganske mange falske positiver og, hvis de brukes feil, lammer driften av det lokale nettverket;
- Regelbaserte IDS-er fungerer som: hvis FAKTA så HANDLING. Faktisk er dette ekspertsystemer med kunnskapsbaser – et sett med fakta og slutningsregler. Slike løsninger er tidkrevende å sette opp og krever at administratoren har en detaljert forståelse av nettverket.
Historie om IDS-utvikling
Tiden med rask utvikling av Internett og bedriftsnettverk begynte på 90-tallet av forrige århundre, men eksperter ble forvirret av avanserte nettverkssikkerhetsteknologier litt tidligere. I 1986 publiserte Dorothy Denning og Peter Neumann IDES-modellen (Intrusion detection expert system), som ble grunnlaget for de fleste moderne inntrengningsdeteksjonssystemer. Hun brukte et ekspertsystem for å identifisere kjente angrep, samt statistiske metoder og bruker-/systemprofiler. IDES kjørte på Sun-arbeidsstasjoner og sjekket nettverkstrafikk og applikasjonsdata. I 1993 ble NIDES (Next-generation Intrusion Detection Expert System) utgitt – et ny generasjons ekspertsystem for inntrengingsdeteksjon.
Basert på arbeidet til Denning og Neumann, dukket ekspertsystemet MIDAS (Multics intrusion detection and alerting system) opp i 1988, ved bruk av P-BEST og LISP. Samtidig ble Haystack-systemet basert på statistiske metoder laget. En annen statistisk anomalidetektor, W&S (Wisdom & Sense), ble utviklet et år senere ved Los Alamos National Laboratory. Utviklingen av bransjen gikk i et raskt tempo. For eksempel, i 1990, ble anomalideteksjon allerede implementert i TIM (Time-based inductive machine) systemet ved bruk av induktiv læring på sekvensielle brukermønstre (Common LISP language). NSM (Network Security Monitor) sammenlignet tilgangsmatriser for deteksjon av anomalier, og ISOA (Information Security Officer's Assistant) støttet ulike deteksjonsstrategier: statistiske metoder, profilkontroll og ekspertsystem. ComputerWatch-systemet som ble opprettet ved AT & T Bell Labs brukte både statistiske metoder og regler for verifisering, og utviklerne av University of California mottok den første prototypen av en distribuert IDS tilbake i 1991 - DIDS (Distributed intrusion detection system) var også en ekspert system.
Først var IDS proprietære, men allerede i 1998, National Laboratory. Lawrence at Berkeley ga ut Bro (omdøpt til Zeek i 2018), et åpen kildekodesystem som bruker sitt eget regelspråk for å analysere libpcap-data. I november samme år dukket APE-pakkesnifferen med libpcap opp, som en måned senere ble omdøpt til Snort, og senere ble en fullverdig IDS / IPS. Samtidig begynte en rekke proprietære løsninger å dukke opp.
Snort og Suricata
Mange selskaper foretrekker gratis og åpen kildekode IDS/IPS. Den allerede nevnte Snort ble lenge ansett som standardløsningen, men nå er den erstattet av Suricata-systemet. Vurder deres fordeler og ulemper litt mer detaljert. Snort kombinerer fordelene med en signaturmetode med muligheten til å oppdage anomalier i sanntid. Suricata tillater også andre metoder enn angrepssignaturdeteksjon. Systemet ble opprettet av en gruppe utviklere som delte seg fra Snort-prosjektet og støtter IPS-funksjoner siden versjon 1.4, mens intrusion prevention dukket opp i Snort senere.
Hovedforskjellen mellom de to populære produktene er Suricatas evne til å bruke GPU for IDS-databehandling, samt den mer avanserte IPS. Systemet ble opprinnelig designet for flertråding, mens Snort er et entråds produkt. På grunn av sin lange historie og eldre kode, gjør den ikke optimal bruk av multi-prosessor/multi-core maskinvareplattformer, mens Suricata kan håndtere trafikk opptil 10 Gbps på vanlige datamaskiner for generell bruk. Du kan snakke om likhetene og forskjellene mellom de to systemene lenge, men selv om Suricata-motoren fungerer raskere, spiller det ingen rolle for ikke for brede kanaler.
Implementeringsalternativer
IPS må plasseres på en slik måte at systemet kan overvåke nettverkssegmentene under dets kontroll. Oftest er dette en dedikert datamaskin, hvor ett grensesnitt kobles etter kantenhetene og "ser" gjennom dem til usikrede offentlige nettverk (Internett). Et annet IPS-grensesnitt er koblet til inngangen til det beskyttede segmentet slik at all trafikk går gjennom systemet og analyseres. I mer komplekse tilfeller kan det være flere beskyttede segmenter: for eksempel i bedriftsnettverk tildeles ofte en demilitarisert sone (DMZ) med tjenester tilgjengelig fra Internett.
En slik IPS kan forhindre portskanning eller brute-force-angrep, utnyttelse av sårbarheter i e-postserveren, webserveren eller skriptene, samt andre typer eksterne angrep. Hvis datamaskinene på det lokale nettverket er infisert med skadelig programvare, vil IDS ikke tillate dem å kontakte botnett-serverne som er plassert utenfor. Mer seriøs beskyttelse av det interne nettverket vil mest sannsynlig kreve en kompleks konfigurasjon med et distribuert system og dyre administrerte svitsjer som er i stand til å speile trafikk for et IDS-grensesnitt koblet til en av portene.
Ofte er bedriftsnettverk utsatt for DDoS-angrep (Distributed Denial-of-Service). Selv om moderne IDS-er kan håndtere dem, er distribusjonsalternativet ovenfor til liten hjelp her. Systemet gjenkjenner ondsinnet aktivitet og blokkerer falsk trafikk, men for dette må pakkene gå gjennom en ekstern Internett-tilkobling og nå nettverksgrensesnittet. Avhengig av intensiteten på angrepet kan det hende at dataoverføringskanalen ikke er i stand til å takle belastningen og angripernes mål vil nås. For slike tilfeller anbefaler vi å distribuere IDS på en virtuell server med en kjent bedre Internett-tilkobling. Du kan koble VPS-en til det lokale nettverket gjennom en VPN, og deretter må du konfigurere rutingen av all ekstern trafikk gjennom den. Deretter, ved et DDoS-angrep, slipper du å kjøre pakker gjennom forbindelsen til leverandøren, de vil bli blokkert på den eksterne verten.
Problemer med valg
Det er veldig vanskelig å identifisere en leder blant gratissystemer. Valget av IDS / IPS bestemmes av nettverkstopologien, de nødvendige beskyttelsesfunksjonene, så vel som de personlige preferansene til administratoren og hans ønske om å fikle med innstillingene. Snort har en lengre historie og er bedre dokumentert, selv om informasjon om Suricata også er lett å finne på nett. I alle fall, for å mestre systemet, må du gjøre en viss innsats, noe som til slutt vil lønne seg - kommersiell maskinvare og maskinvare-programvare IDS / IPS er ganske dyre og passer ikke alltid inn i budsjettet. Det er ikke verdt å angre på tidsbruken, fordi en god administrator alltid forbedrer sine kvalifikasjoner på bekostning av arbeidsgiveren. I denne situasjonen vinner alle. I den neste artikkelen vil vi se på noen Suricata-distribusjonsalternativer og sammenligne det mer moderne systemet med det klassiske IDS/IPS Snort i praksis.
Kilde: www.habr.com