Antigamente, um firewall comum e programas antivírus eram suficientes para proteger a rede local, mas esse conjunto não é mais eficaz o suficiente contra os ataques de hackers modernos e o malware que se proliferou recentemente. O bom e velho firewall analisa apenas cabeçalhos de pacotes, passando ou bloqueando-os de acordo com um conjunto de regras formais. Ele não sabe nada sobre o conteúdo dos pacotes e, portanto, não pode reconhecer as ações aparentemente legítimas dos intrusos. Os programas antivírus nem sempre detectam malware, então o administrador se depara com a tarefa de monitorar atividades anômalas e isolar os hosts infectados em tempo hábil.
Existem muitas ferramentas avançadas que permitem proteger a infraestrutura de TI da empresa. Hoje falaremos sobre sistemas de detecção e prevenção de invasões de código aberto que podem ser implementados sem comprar licenças caras de hardware e software.
Classificação IDS/IPS
IDS (Intrusion Detection System) é um sistema projetado para registrar atividades suspeitas em uma rede ou em um computador separado. Ele mantém logs de eventos e notifica o responsável pela segurança da informação sobre eles. O IDS inclui os seguintes elementos:
- sensores para visualizar o tráfego de rede, vários logs, etc.
- um subsistema de análise que detecta indícios de efeitos nocivos nos dados recebidos;
- armazenamento para acumulação de eventos primários e resultados de análises;
- console de gerenciamento.
Inicialmente, os IDS eram classificados por localização: podiam ser focados na proteção de nós individuais (baseado em host ou Host Intrusion Detection System - HIDS) ou na proteção de toda a rede corporativa (baseado em rede ou Network Intrusion Detection System - NIDS). Vale a pena mencionar o chamado. APIDS (IDS baseado em protocolo de aplicativo): Eles monitoram um conjunto limitado de protocolos da camada de aplicativo para detectar ataques específicos e não analisam profundamente os pacotes de rede. Esses produtos geralmente se assemelham a proxies e são usados para proteger serviços específicos: servidor web e aplicativos web (por exemplo, escritos em PHP), servidores de banco de dados, etc. Um representante típico dessa classe é o mod_security para o servidor web Apache.
Estamos mais interessados em NIDS universais que suportam uma ampla gama de protocolos de comunicação e tecnologias de análise de pacotes DPI (Deep Packet Inspection). Eles monitoram todo o tráfego que passa, a partir da camada de enlace de dados, e detectam uma ampla gama de ataques de rede, bem como acesso não autorizado a informações. Freqüentemente, esses sistemas têm uma arquitetura distribuída e podem interagir com vários equipamentos de rede ativos. Observe que muitos NIDS modernos são híbridos e combinam várias abordagens. Dependendo da configuração e configurações, eles podem resolver vários problemas - por exemplo, proteger um nó ou toda a rede. Além disso, as funções de IDS para estações de trabalho foram assumidas por pacotes de antivírus, que, devido à disseminação de cavalos de Tróia destinados a roubar informações, se transformaram em firewalls multifuncionais que também resolvem as tarefas de reconhecimento e bloqueio de tráfego suspeito.
Inicialmente, o IDS só podia detectar atividade de malware, scanners de porta ou, digamos, violações do usuário das políticas de segurança corporativa. Quando um determinado evento ocorreu, eles notificaram o administrador, mas rapidamente ficou claro que apenas reconhecer o ataque não era suficiente - ele precisava ser bloqueado. Então o IDS se transformou em IPS (Intrusion Prevention Systems) - sistemas de prevenção de intrusão que podem interagir com firewalls.
Métodos de detecção
As soluções modernas de detecção e prevenção de invasões usam vários métodos para detectar atividades maliciosas, que podem ser divididas em três categorias. Isso nos dá outra opção para classificar os sistemas:
- O IDS/IPS baseado em assinatura procura padrões no tráfego ou monitora mudanças de estado do sistema para detectar um ataque de rede ou tentativa de infecção. Eles praticamente não dão falhas de ignição e falsos positivos, mas não são capazes de identificar ameaças desconhecidas;
- IDSs de detecção de anomalias não usam assinaturas de ataque. Eles reconhecem o comportamento anormal dos sistemas de informação (incluindo anomalias no tráfego de rede) e podem detectar até mesmo ataques desconhecidos. Esses sistemas fornecem muitos falsos positivos e, se usados incorretamente, paralisam o funcionamento da rede local;
- IDSs baseados em regras funcionam como: se FATO, então AÇÃO. Na verdade, esses são sistemas especialistas com bases de conhecimento - um conjunto de fatos e regras de inferência. Essas soluções são demoradas para configurar e exigem que o administrador tenha um entendimento detalhado da rede.
História do desenvolvimento do IDS
A era do rápido desenvolvimento da Internet e das redes corporativas começou na década de 90 do século passado; no entanto, os especialistas ficaram intrigados com as tecnologias avançadas de segurança de rede um pouco antes. Em 1986, Dorothy Denning e Peter Neumann publicaram o modelo IDES (Sistema especialista em detecção de intrusão), que se tornou a base da maioria dos sistemas modernos de detecção de intrusão. Ela usou um sistema especialista para identificar ataques conhecidos, bem como métodos estatísticos e perfis de usuário/sistema. O IDES rodava em estações de trabalho Sun, verificando o tráfego de rede e os dados do aplicativo. Em 1993, o NIDES (Sistema Especialista em Detecção de Intrusão de Próxima Geração) foi lançado - um sistema especialista em detecção de intrusão de nova geração.
Baseado no trabalho de Denning e Neumann, o sistema especialista MIDAS (Multics intrusion detection and alerting system) surgiu em 1988, usando P-BEST e LISP. Ao mesmo tempo, foi criado o sistema Haystack baseado em métodos estatísticos. Outro detector de anomalias estatísticas, W&S (Wisdom & Sense), foi desenvolvido um ano depois no Los Alamos National Laboratory. O desenvolvimento da indústria ocorreu em um ritmo acelerado. Por exemplo, em 1990, a detecção de anomalias já era implementada no sistema TIM (Time-based induction machine) usando aprendizado indutivo em padrões de usuário sequenciais (linguagem Common LISP). NSM (Network Security Monitor) comparou matrizes de acesso para detecção de anomalias, e ISOA (Information Security Officer's Assistant) apoiou várias estratégias de detecção: métodos estatísticos, verificação de perfil e sistema especialista. O sistema ComputerWatch criado no AT & T Bell Labs usava métodos estatísticos e regras para verificação, e os desenvolvedores da Universidade da Califórnia receberam o primeiro protótipo de um IDS distribuído em 1991 - DIDS (Sistema de detecção de intrusão distribuído) também era um especialista sistema.
A princípio, os IDS eram proprietários, mas já em 1998, o Laboratório Nacional. Lawrence em Berkeley lançou Bro (renomeado Zeek em 2018), um sistema de código aberto que usa sua própria linguagem de regras para analisar dados libpcap. Em novembro do mesmo ano, apareceu o farejador de pacotes APE usando libpcap, que um mês depois foi renomeado para Snort e, posteriormente, tornou-se um IDS / IPS completo. Ao mesmo tempo, inúmeras soluções proprietárias começaram a aparecer.
Snort e Suricata
Muitas empresas preferem IDS/IPS de código aberto e gratuito. Por muito tempo, o já citado Snort foi considerado a solução padrão, mas agora foi substituído pelo sistema Suricata. Considere suas vantagens e desvantagens com um pouco mais de detalhes. O Snort combina as vantagens de um método de assinatura com a capacidade de detectar anomalias em tempo real. Suricata também permite outros métodos além da detecção de assinatura de ataque. O sistema foi criado por um grupo de desenvolvedores que se separou do projeto Snort e suporta recursos IPS desde a versão 1.4, enquanto a prevenção de intrusão apareceu no Snort posteriormente.
A principal diferença entre os dois produtos populares é a capacidade do Suricata de usar a GPU para computação IDS, bem como o IPS mais avançado. O sistema foi originalmente projetado para multiencadeamento, enquanto o Snort é um produto de encadeamento único. Devido à sua longa história e código legado, ele não faz uso ideal de plataformas de hardware multiprocessador/multinúcleo, enquanto o Suricata pode lidar com tráfego de até 10 Gbps em computadores normais de uso geral. Você pode falar sobre as semelhanças e diferenças entre os dois sistemas por um longo tempo, mas embora o mecanismo Suricata funcione mais rápido, para canais não muito largos isso não importa.
Opções de implantação
O IPS deve ser colocado de forma que o sistema possa monitorar os segmentos de rede sob seu controle. Na maioria das vezes, este é um computador dedicado, cuja interface se conecta após os dispositivos de ponta e “procura” através deles redes públicas não seguras (Internet). Outra interface IPS é conectada à entrada do segmento protegido para que todo o tráfego passe pelo sistema e seja analisado. Em casos mais complexos, pode haver vários segmentos protegidos: por exemplo, em redes corporativas, uma zona desmilitarizada (DMZ) costuma ser alocada com serviços acessíveis pela Internet.
Tal IPS pode impedir a varredura de portas ou ataques de força bruta, a exploração de vulnerabilidades no servidor de correio, servidor web ou scripts, bem como outros tipos de ataques externos. Se os computadores da rede local estiverem infectados com malware, o IDS não permitirá que eles entrem em contato com os servidores botnet localizados fora. Uma proteção mais séria da rede interna provavelmente exigirá uma configuração complexa com um sistema distribuído e switches gerenciados caros capazes de espelhar o tráfego para uma interface IDS conectada a uma das portas.
Frequentemente, as redes corporativas estão sujeitas a ataques distribuídos de negação de serviço (DDoS). Embora os IDSs modernos possam lidar com eles, a opção de implantação acima é de pouca ajuda aqui. O sistema reconhece atividades maliciosas e bloqueia o tráfego espúrio, mas, para isso, os pacotes devem passar por uma conexão externa com a Internet e chegar à sua interface de rede. Dependendo da intensidade do ataque, o canal de transmissão de dados pode não aguentar a carga e o objetivo dos atacantes será alcançado. Para tais casos, recomendamos a implantação do IDS em um servidor virtual com uma conexão de Internet reconhecidamente melhor. Você pode conectar o VPS à rede local por meio de uma VPN e, a seguir, precisará configurar o roteamento de todo o tráfego externo por meio dela. Então, no caso de um ataque DDoS, você não precisará conduzir os pacotes pela conexão com o provedor, eles serão bloqueados no host externo.
Problema de escolha
É muito difícil identificar um líder entre os sistemas gratuitos. A escolha do IDS / IPS é determinada pela topologia da rede, pelos recursos de segurança necessários, bem como pelas preferências pessoais do administrador e seu desejo de mexer nas configurações. O Snort tem uma história mais longa e está melhor documentado, embora as informações sobre o Suricata também sejam fáceis de encontrar online. De qualquer forma, para dominar o sistema, você terá que fazer alguns esforços, que acabarão valendo a pena - hardware comercial e hardware-software IDS / IPS são muito caros e nem sempre cabem no orçamento. Você não deve se arrepender do tempo gasto, porque um bom administrador sempre aprimora suas qualificações às custas do empregador. Nesta situação, todos ganham. No próximo artigo, veremos algumas opções de implantação do Suricata e compararemos o sistema mais moderno com o clássico IDS/IPS Snort na prática.
Fonte: habr.com