Pe vremuri, un firewall obișnuit și programe antivirus erau suficiente pentru a proteja rețeaua locală, dar un astfel de set nu mai este suficient de eficient împotriva atacurilor hackerilor moderni și a malware-ului care a proliferat recent. Firewall-ul vechi analizează doar anteturile de pachete, trecând sau blocându-le în conformitate cu un set de reguli formale. Nu știe nimic despre conținutul pachetelor și, prin urmare, nu poate recunoaște acțiunile în exterior legitime ale intrușilor. Programele antivirus nu prinde întotdeauna malware, astfel încât administratorul se confruntă cu sarcina de a monitoriza activitatea anormală și de a izola gazdele infectate în timp util.
Există multe instrumente avansate care vă permit să protejați infrastructura IT a companiei. Astăzi vom vorbi despre sistemele open source de detectare și prevenire a intruziunilor care pot fi implementate fără a cumpăra licențe costisitoare de hardware și software.
clasificare IDS/IPS
IDS (Intrusion Detection System) este un sistem conceput pentru a înregistra activități suspecte într-o rețea sau pe un computer separat. Menține jurnalele de evenimente și anunță persoana responsabilă cu securitatea informațiilor despre acestea. IDS include următoarele elemente:
- senzori pentru vizualizarea traficului de rețea, jurnalele diverse etc.
- un subsistem de analiză care detectează semne de efecte nocive în datele primite;
- stocare pentru acumularea evenimentelor primare și a rezultatelor analizei;
- consola de management.
Inițial, IDS-urile erau clasificate în funcție de locație: puteau fi concentrate pe protejarea nodurilor individuale (host-based sau Host Intrusion Detection System - HIDS) sau protejarea întregii rețele corporative (network-based sau Network Intrusion Detection System - NIDS). Merită menționat așa-numitul. APIDS (Application Protocol-based IDS): monitorizează un set limitat de protocoale de nivel de aplicație pentru a detecta atacuri specifice și nu analizează în profunzime pachetele de rețea. Astfel de produse seamănă de obicei cu proxy-urile și sunt folosite pentru a proteja anumite servicii: server web și aplicații web (de exemplu, scrise în PHP), servere de baze de date etc. Un reprezentant tipic al acestei clase este mod_security pentru serverul web Apache.
Suntem mai interesați de NIDS universal care acceptă o gamă largă de protocoale de comunicație și tehnologii de analiză a pachetelor DPI (Deep Packet Inspection). Ei monitorizează tot traficul care trece, începând de la nivelul de legătură de date și detectează o gamă largă de atacuri de rețea, precum și accesul neautorizat la informații. Adesea, astfel de sisteme au o arhitectură distribuită și pot interacționa cu diverse echipamente de rețea active. Rețineți că multe NIDS moderne sunt hibride și combină mai multe abordări. În funcție de configurație și setări, acestea pot rezolva diverse probleme - de exemplu, protejarea unui nod sau a întregii rețele. În plus, funcțiile IDS pentru stațiile de lucru au fost preluate de pachete antivirus, care, din cauza răspândirii troienilor care vizează furtul de informații, s-au transformat în firewall-uri multifuncționale care rezolvă și sarcinile de recunoaștere și blocare a traficului suspect.
Inițial, IDS putea detecta doar activitatea malware, scanere de porturi sau, să zicem, încălcările utilizatorilor ale politicilor de securitate corporative. Când a avut loc un anumit eveniment, au anunțat administratorul, dar a devenit rapid clar că simpla recunoaștere a atacului nu era suficientă - trebuia blocat. Deci IDS transformat în IPS (Intrusion Prevention Systems) - sisteme de prevenire a intruziunilor care pot interacționa cu firewall-urile.
Metode de detectare
Soluțiile moderne de detectare și prevenire a intruziunilor folosesc diverse metode de detectare a activităților rău intenționate, care pot fi împărțite în trei categorii. Aceasta ne oferă o altă opțiune pentru clasificarea sistemelor:
- IDS/IPS bazat pe semnătură caută modele în trafic sau monitorizează modificările stării sistemului pentru a detecta un atac de rețea sau o tentativă de infecție. Practic nu dau rateuri și fals pozitive, dar nu sunt capabili să detecteze amenințări necunoscute;
- IDS-urile care detectează anomalii nu folosesc semnături de atac. Ei recunosc comportamentul anormal al sistemelor informatice (inclusiv anomalii în traficul de rețea) și pot detecta chiar și atacuri necunoscute. Astfel de sisteme dau destul de multe false pozitive și, dacă sunt utilizate incorect, paralizează funcționarea rețelei locale;
- IDS-urile bazate pe reguli funcționează ca: dacă FACT, atunci ACȚIUNE. De fapt, acestea sunt sisteme expert cu baze de cunoștințe - un set de fapte și reguli de inferență. Configurarea unor astfel de soluții necesită timp și necesită ca administratorul să aibă o înțelegere detaliată a rețelei.
Istoria dezvoltării IDS
Era dezvoltării rapide a internetului și a rețelelor corporative a început în anii 90 ai secolului trecut, totuși, experții au fost nedumeriți de tehnologiile avansate de securitate a rețelei puțin mai devreme. În 1986, Dorothy Denning și Peter Neumann au publicat modelul IDES (Intrusion detection expert system), care a devenit baza celor mai moderne sisteme de detectare a intruziunilor. Ea a folosit un sistem expert pentru a identifica atacurile cunoscute, precum și metode statistice și profiluri de utilizator/sistem. IDES a rulat pe stațiile de lucru Sun, verificând traficul de rețea și datele aplicațiilor. În 1993, a fost lansat NIDES (Next-generation Intrusion Detection Expert System) - un sistem expert de detectare a intruziunilor de nouă generație.
Bazat pe munca lui Denning și Neumann, sistemul expert MIDAS (Multics Intrusion Detection and Alerting System) a apărut în 1988, folosind P-BEST și LISP. Totodată, a fost creat sistemul Haystack bazat pe metode statistice. Un alt detector de anomalii statistice, W&S (Wisdom & Sense), a fost dezvoltat un an mai târziu la Laboratorul Național Los Alamos. Dezvoltarea industriei a decurs într-un ritm rapid. De exemplu, în 1990, detectarea anomaliilor era deja implementată în sistemul TIM (Mașină inductivă bazată pe timp) folosind învățarea inductivă pe modele de utilizator secvențiale (limbaj comun LISP). NSM (Network Security Monitor) a comparat matrice de acces pentru detectarea anomaliilor, iar ISOA (Information Security Officer's Assistant) a susținut diverse strategii de detectare: metode statistice, verificare profil și sistem expert. Sistemul ComputerWatch creat la AT&T Bell Labs a folosit atât metode statistice, cât și reguli pentru verificare, iar dezvoltatorii Universității din California au primit primul prototip al unui IDS distribuit încă din 1991 - DIDS (Distributed Intrusion Detection System) a fost și el expert. sistem.
La început, IDS erau proprietare, dar deja în 1998, Laboratorul Național. Lawrence de la Berkeley a lansat Bro (redenumit Zeek în 2018), un sistem open source care folosește propriul limbaj de reguli pentru analizarea datelor libpcap. În noiembrie același an, a apărut sniffer-ul de pachete APE folosind libpcap, care o lună mai târziu a fost redenumit Snort, iar mai târziu a devenit un IDS / IPS cu drepturi depline. În același timp, au început să apară numeroase soluții proprietare.
Snort și Suricata
Multe companii preferă IDS/IPS gratuit și open source. Multă vreme, Snort-ul deja menționat a fost considerat soluția standard, dar acum a fost înlocuit cu sistemul Suricata. Luați în considerare avantajele și dezavantajele lor mai detaliat. Snort combină avantajele unei metode de semnătură cu capacitatea de a detecta anomalii în timp real. Suricata permite și alte metode în afară de detectarea semnăturilor de atac. Sistemul a fost creat de un grup de dezvoltatori care s-au despărțit de proiectul Snort și acceptă funcții IPS începând cu versiunea 1.4, în timp ce prevenirea intruziunilor a apărut în Snort mai târziu.
Principala diferență dintre cele două produse populare este capacitatea Suricata de a utiliza GPU pentru calculul IDS, precum și IPS mai avansat. Sistemul a fost conceput inițial pentru multi-threading, în timp ce Snort este un produs cu un singur thread. Datorită istoriei sale lungi și a codului moștenit, nu folosește în mod optim platformele hardware multi-procesor/multi-core, în timp ce Suricata poate gestiona trafic de până la 10 Gbps pe computerele normale de uz general. Despre asemănările și diferențele dintre cele două sisteme poți vorbi mult timp, dar deși motorul Suricata funcționează mai repede, pentru canalele nu prea largi nu contează.
Opțiuni de implementare
IPS trebuie amplasat astfel încât sistemul să poată monitoriza segmentele de rețea aflate sub controlul său. Cel mai adesea, acesta este un computer dedicat, dintre care o interfață se conectează după dispozitivele de margine și „căută” prin ele la rețele publice nesecurizate (Internet). O altă interfață IPS este conectată la intrarea segmentului protejat astfel încât tot traficul să treacă prin sistem și să fie analizat. În cazuri mai complexe, pot exista mai multe segmente protejate: de exemplu, în rețelele corporative, o zonă demilitarizată (DMZ) este adesea alocată cu servicii accesibile de pe Internet.
Un astfel de IPS poate preveni scanarea portului sau atacurile brute-force, exploatarea vulnerabilităților în serverul de e-mail, serverul web sau scripturile, precum și alte tipuri de atacuri externe. Dacă computerele din rețeaua locală sunt infectate cu malware, IDS nu le va permite să contacteze serverele botnet situate în exterior. O protecție mai serioasă a rețelei interne va necesita cel mai probabil o configurație complexă cu un sistem distribuit și switch-uri gestionate costisitoare, capabile să reflecte traficul pentru o interfață IDS conectată la unul dintre porturi.
Adesea, rețelele corporative sunt supuse atacurilor distribuite de refuzare a serviciului (DDoS). Deși IDS-urile moderne le pot face față, opțiunea de implementare de mai sus este de puțin ajutor aici. Sistemul recunoaște activitatea rău intenționată și blochează traficul fals, dar pentru aceasta, pachetele trebuie să treacă printr-o conexiune externă la Internet și să ajungă la interfața sa de rețea. În funcție de intensitatea atacului, este posibil ca canalul de transmisie a datelor să nu poată face față sarcinii și scopul atacatorilor va fi atins. Pentru astfel de cazuri, vă recomandăm să implementați IDS pe un server virtual cu o conexiune la internet cunoscută mai bună. Puteți conecta VPS-ul la rețeaua locală printr-un VPN, iar apoi va trebui să configurați rutarea întregului trafic extern prin intermediul acestuia. Apoi, în cazul unui atac DDoS, nu va trebui să conduceți pachete prin conexiunea la furnizor, acestea vor fi blocate pe gazda externă.
Problema alegerii
Este foarte dificil să identifici un lider printre sistemele libere. Alegerea IDS / IPS este determinată de topologia rețelei, de caracteristicile de securitate necesare, precum și de preferințele personale ale administratorului și de dorința acestuia de a se juca cu setările. Snort are o istorie mai lungă și este mai bine documentată, deși informațiile despre Suricata sunt, de asemenea, ușor de găsit online. În orice caz, pentru a stăpâni sistemul, va trebui să depuneți niște eforturi, care în cele din urmă vor da roade - hardware-ul comercial și IDS / IPS hardware-software sunt destul de scumpe și nu se încadrează întotdeauna în buget. Nu trebuie să regretați timpul petrecut, pentru că un administrator bun își îmbunătățește întotdeauna calificările în detrimentul angajatorului. În această situație, toată lumea câștigă. În următorul articol, vom analiza câteva opțiuni pentru implementarea Suricata și vom compara sistemul mai modern cu clasicul IDS/IPS Snort în practică.
Sursa: www.habr.com