هڪ دفعي، هڪ عام فائر وال ۽ اينٽي وائرس پروگرام مقامي نيٽ ورڪ کي بچائڻ لاءِ ڪافي هوندا هئا، پر هاڻي اهڙو سيٽ جديد هيڪرز ۽ مالويئر جي حملن جي خلاف ڪافي اثرائتو نه رهيو آهي، جيڪو تازو ئي پکڙجي چڪو آهي. هڪ سٺو پراڻو فائر وال صرف پيڪٽ هيڊرز جو تجزيو ڪري ٿو، انهن کي اجازت ڏيڻ يا بلاڪ ڪرڻ جي مطابق رسمي ضابطن جي سيٽ جي مطابق. اهو پيڪيٽ جي مواد جي باري ۾ ڪجھ به نٿو ڄاڻي، ۽ ان ڪري حملي ڪندڙن جي بظاهر جائز عملن کي سڃاڻي نٿو سگهي. اينٽي وائرس پروگرام هميشه مالويئر کي نه پڪڙيندا آهن، تنهنڪري منتظم کي غير معمولي سرگرمي جي نگراني ڪرڻ ۽ بروقت متاثر ٿيل ميزبانن کي الڳ ڪرڻ جو ڪم آهي.
ڪمپني جي آئي ٽي انفراسٽرڪچر کي بچائڻ لاءِ ڪيترائي جديد اوزار موجود آهن. اڄ اسان اوپن سورس جي مداخلت جي ڳولا ۽ روڪٿام سسٽم بابت ڳالهائينداسين، جيڪي قيمتي سامان ۽ سافٽ ويئر لائسنس خريد ڪرڻ کان سواء لاڳو ٿي سگهن ٿيون.
IDS/IPS درجه بندي
IDS (Intrusion Detection System) ھڪڙو نظام آھي جيڪو مشڪوڪ سرگرمين کي رجسٽر ڪرڻ لاءِ ٺاھيو ويو آھي ھڪڙي نيٽ ورڪ تي يا انفرادي ڪمپيوٽر تي. اهو واقعن جي لاگن کي رکي ٿو ۽ ملازم کي اطلاع ڏئي ٿو انهن جي باري ۾ معلومات جي حفاظت لاء ذميوار. هيٺيون عنصر IDS جي حصي جي طور تي فرق ڪري سگهجي ٿو:
- نيٽ ورڪ ٽرئفڪ، مختلف لاگ، وغيره ڏسڻ لاءِ سينسر.
- هڪ تجزياتي سب سسٽم جيڪو مليل ڊيٽا ۾ خراب اثر جي نشانين جي نشاندهي ڪري ٿو؛
- پرائمري واقعن ۽ تجزيي جي نتيجن کي گڏ ڪرڻ لاء اسٽوريج؛
- انتظام ڪنسول.
شروعات ۾، IDS جڳه جي لحاظ کان درجه بندي ڪئي وئي هئي: اهي انفرادي نوڊس (ميزبان جي بنياد تي يا ميزبان مداخلت جي چڪاس سسٽم - HIDS) جي حفاظت تي يا پوري ڪارپوريٽ نيٽ ورڪ جي حفاظت تي ڌيان ڏئي سگھن ٿا (نيٽ ورڪ تي ٻڌل يا نيٽورڪ مداخلت جي چڪاس سسٽم - NIDS). اهو ذڪر ڪرڻ جي قابل آهي جنهن کي سڏيو ويندو آهي APIDS (ايپليڪيشن پروٽوڪول تي ٻڌل IDS): اهي مخصوص حملن جي نشاندهي ڪرڻ لاءِ ايپليڪيشن-سطح جي پروٽوڪول جي محدود سيٽ جي نگراني ڪن ٿا ۽ نيٽ ورڪ پيڪٽس جو گہرا تجزيو نٿا ڪن. اهڙيون پراڊڪٽس عام طور تي پراکسيز وانگر هونديون آهن ۽ مخصوص خدمتن جي حفاظت لاءِ استعمال ٿينديون آهن: هڪ ويب سرور ۽ ويب ايپليڪيشنون (مثال طور، پي ايڇ پي ۾ لکيل)، ڊيٽابيس سرور وغيره. هن طبقي جو هڪ عام مثال آهي mod_security Apache ويب سرور لاءِ.
اسان عالمي NIDS ۾ وڌيڪ دلچسپي رکون ٿا جيڪي ڪميونيڪيشن پروٽوڪولن ۽ ڊي پي آئي (ڊيپ پيڪٽ انسپيڪشن) ٽيڪنالاجيز جي وسيع رينج کي سپورٽ ڪن ٿا. اهي سڀ گذرڻ واري ٽرئفڪ جي نگراني ڪن ٿا، ڊيٽا لنڪ پرت کان شروع ٿيندڙ، ۽ نيٽ ورڪ حملن جي وسيع رينج کي ڳوليندا آهن، انهي سان گڏ معلومات تائين غير مجاز رسائي جي ڪوشش. گهڻو ڪري اهڙين سسٽم ۾ ورهايل فن تعمير آهي ۽ مختلف فعال نيٽ ورڪ سامان سان لهه وچڙ ڪري سگهن ٿا. ياد رهي ته ڪيترائي جديد NIDS هائبرڊ آهن ۽ ڪيترن ئي طريقن کي گڏ ڪن ٿا. ترتيب ۽ سيٽنگن تي مدار رکندي، اهي مختلف مسئلا حل ڪري سگهن ٿا - مثال طور، هڪ نوڊ يا سڄي نيٽ ورڪ جي حفاظت. ان کان علاوه، ڪم اسٽيشنز لاءِ IDS جا ڪم اينٽي وائرس پيڪيجز جي حوالي ڪيا ويا، جيڪي ٽرجن جي پکيڙ جي ڪري معلومات چوري ڪرڻ جو مقصد، ملٽي فنڪشنل فائر والز ۾ تبديل ٿي ويا جيڪي مشڪوڪ ٽريفڪ کي سڃاڻڻ ۽ بلاڪ ڪرڻ جا مسئلا پڻ حل ڪن ٿا.
شروعات ۾، IDS صرف مالويئر سرگرمي، پورٽ اسڪينر، يا، چئو، صارف ڪارپوريٽ سيڪيورٽي پاليسين جي خلاف ورزي کي ڳولي سگهي ٿو. جڏهن هڪ خاص واقعو پيش آيو، انهن منتظم کي اطلاع ڏنو، پر اهو جلدي واضح ٿي ويو ته صرف حملي کي تسليم ڪرڻ ڪافي نه هو - ان کي بلاڪ ڪرڻ جي ضرورت آهي. تنهن ڪري IDS کي IPS ۾ تبديل ڪيو ويو (Intrusion Prevention Systems) - intrusion prevention systems can be able to interact with firewalls.
ڳولڻ جا طريقا
جديد مداخلت جو پتو لڳائڻ ۽ روڪٿام حل مختلف طريقن کي استعمال ڪن ٿا بدسلوڪي سرگرمي کي سڃاڻڻ لاءِ، جن کي ٽن ڀاڱن ۾ ورهائي سگهجي ٿو. هي اسان کي هڪ ٻيو اختيار ڏئي ٿو درجه بندي سسٽم لاءِ:
- دستخط جي بنياد تي IDS/IPS ٽرئفڪ ۾ نمونن کي ڳولي ٿو يا سسٽم جي حالت ۾ تبديلين کي مانيٽر ڪرڻ لاء نيٽ ورڪ حملي يا انفيڪشن جي ڪوشش کي طئي ڪرڻ لاء. اهي عملي طور تي غلط فائر ۽ غلط مثبت نه ڏيندا آهن، پر اڻڄاتل خطرن کي سڃاڻڻ جي قابل نه هوندا آهن؛
- اڻڄاتل سڃاڻپ ڪندڙ IDSs حملا دستخط استعمال نٿا ڪن. اهي ڄاڻ سسٽم جي غير معمولي رويي کي سڃاڻندا آهن (نيٽ ورڪ ٽرئفڪ ۾ غير معمولي شامل آهن) ۽ اڃا به اڻڄاتل حملن کي ڳولي سگهن ٿا. اهڙا سسٽم تمام گهڻا غلط مثبت آهن ۽، جيڪڏهن غلط استعمال ڪيو وڃي، مقامي نيٽ ورڪ جي آپريشن کي مفلوج ڪري ٿو؛
- ضابطي تي ٻڌل IDS اصول تي ڪم ڪري ٿو: جيڪڏهن FACT پوءِ ACTION. ذات ۾، اهي ماهر سسٽم آهن جيڪي علم جي بنيادن سان گڏ آهن - حقيقتن جو هڪ سيٽ ۽ منطقي انفرنس جي ضابطن. اھڙا حل سيٽ اپ ڪرڻ لاءِ محنت وارا آھن ۽ منتظم کي نيٽ ورڪ جي تفصيلي سمجھڻ جي ضرورت آھي.
IDS جي ترقي جي تاريخ
انٽرنيٽ ۽ ڪارپوريٽ نيٽ ورڪن جي تيزيءَ سان ترقيءَ جو دور گذريل صديءَ جي 90ع واري ڏهاڪي ۾ شروع ٿيو، پر ماهرن ٿورو اڳي ئي جديد نيٽورڪ سيڪيورٽي ٽيڪنالاجيءَ جي ڪري حيران ٿي ويا. 1986 ۾، ڊوروٿي ڊيننگ ۽ پيٽر نيومن شايع ڪيو IDES (Intrusion detection expert system) ماڊل، جيڪو جديد intrusion detection systems جو بنياد بڻجي ويو. اهو هڪ ماهر سسٽم استعمال ڪيو ويو سڃاڻپ حملي جي قسمن جي سڃاڻپ ڪرڻ لاء، انهي سان گڏ شمارياتي طريقا ۽ صارف / سسٽم پروفائلز. IDES سني ڪم اسٽيشنن تي هليا، نيٽ ورڪ ٽرئفڪ ۽ ايپليڪيشن ڊيٽا جو معائنو ڪيو. 1993 ۾، NIDES (ايندڙ نسل جي مداخلت جو پتو لڳائڻ ماهر سسٽم) جاري ڪيو ويو - هڪ نئين نسل جي مداخلت جو پتو لڳائڻ وارو ماهر سسٽم.
Denning ۽ Neumann جي ڪم جي بنياد تي، MIDAS (Multics intrusion detection and alerting system) ماهر سسٽم P-BEST ۽ LISP استعمال ڪندي 1988 ۾ ظاهر ٿيو. ساڳئي وقت، Haystack سسٽم جي بنياد تي شمارياتي طريقن جي بنياد تي ٺاهي وئي. هڪ ٻيو شمارياتي انوملي ڊيڪٽر، W&S (Wisdom & Sense)، هڪ سال بعد لاس الاموس نيشنل ليبارٽري ۾ تيار ڪيو ويو. صنعت تيزيءَ سان ترقي ڪري رهي هئي. مثال طور، 1990 ۾، TIM (TIM-based inductive machine) سسٽم اڳ ۾ ئي ترتيب ڏنل استعمال ڪندڙ جي نمونن (Common LISP language) تي inductive Learning استعمال ڪندي بي ضابطگي جي سڃاڻپ کي لاڳو ڪيو. NSM (نيٽ ورڪ سيڪيورٽي مانيٽر) بي ترتيبين جي نشاندهي ڪرڻ لاءِ پهچ جي ماپن جو مقابلو ڪيو، ۽ ISOA (انفارميشن سيڪيورٽي آفيسر جي اسسٽنٽ) مختلف ڳولڻ واري حڪمت عملين جي مدد ڪئي: شمارياتي طريقا، پروفائل چيڪنگ ۽ ماهر سسٽم. AT&T Bell Labs تي ٺاهيل ڪمپيوٽر واچ سسٽم تصديق لاءِ شمارياتي طريقا ۽ ضابطا استعمال ڪيا، ۽ ڪيليفورنيا يونيورسٽي جي ڊولپرز 1991 ۾ ورهايل IDS جو پهريون پروٽوٽائپ حاصل ڪيو - DIDS (Distributed Intrusion Detection System) پڻ هڪ ماهر نظام هو.
پهرين ۾، IDS ملڪيت هئا، پر اڳ ۾ ئي 1998 ۾، نيشنل ليبارٽري. لارنس برڪلي جاري ڪيو برو (2018 ۾ Zeek جو نالو تبديل ڪيو ويو)، هڪ اوپن سورس سسٽم جيڪو استعمال ڪري ٿو ملڪيت جي ضابطن جي ٻولي libpcap ڊيٽا جي تجزيو لاءِ. ساڳئي سال نومبر ۾، Libpcap استعمال ڪندي APE پيڪيٽ سنيفر ظاهر ٿيو، جنهن کي هڪ مهيني بعد Snort جو نالو ڏنو ويو، ۽ بعد ۾ هڪ مڪمل IDS/IPS بڻجي ويو. ساڳئي وقت، ڪيترائي مالڪي حل ظاهر ٿيڻ لڳا.
Snort ۽ Suricata
ڪيتريون ئي ڪمپنيون پسند ڪن ٿيون مفت ۽ اوپن سورس IDS/IPS. هڪ ڊگهي وقت تائين، اڳ ۾ ئي ذڪر ڪيل Snort کي معياري حل سمجهيو ويندو هو، پر هاڻي اهو سريڪاٽا سسٽم طرفان تبديل ڪيو ويو آهي. اچو ته انهن جي فائدن ۽ نقصانن کي ٿورو وڌيڪ تفصيل سان ڏسو. Snort حقيقي وقت ۾ بي ضابطگين کي ڳولڻ جي صلاحيت سان دستخط تي ٻڌل طريقي جي فائدن کي گڏ ڪري ٿو. Suricata پڻ توهان کي ٻين طريقن کي استعمال ڪرڻ جي اجازت ڏئي ٿو ان کان علاوه دستخطن جي حملن کي سڃاڻڻ. سسٽم ٺاھيو ويو ڊولپرز جي ھڪڙي گروپ پاران Snort پروجيڪٽ کان ڌار ڪيو ويو ۽ IPS جي ڪمن کي سپورٽ ڪري ٿو جيڪو ورزن 1.4 کان شروع ٿئي ٿو، ۽ Snort بعد ۾ مداخلت کي روڪڻ جي صلاحيت متعارف ڪرايو.
ٻن مشهور پروڊڪٽس جي وچ ۾ بنيادي فرق آهي Suricata جي IDS موڊ ۾ GPU ڪمپيوٽنگ استعمال ڪرڻ جي صلاحيت، انهي سان گڏ وڌيڪ ترقي يافته IPS. سسٽم شروعاتي طور تي ملٽي ٿريڊنگ لاءِ ٺهيل آهي، جڏهن ته سنورٽ هڪ واحد ٿريڊ پراڊڪٽ آهي. ان جي ڊگهي تاريخ ۽ وراثت واري ڪوڊ جي ڪري، اهو بهتر طور تي ملٽي پروسيسر / ملٽي ڪور هارڊويئر پليٽ فارمز کي استعمال نٿو ڪري، جڏهن ته Suricata باقاعده عام مقصد جي ڪمپيوٽرن تي 10 Gbps تائين ٽرئفڪ کي سنڀاليندو. اسان ٻن سسٽم جي وچ ۾ هڪجهڙائي ۽ اختلافن جي باري ۾ هڪ ڊگهي وقت تائين ڳالهائي سگهون ٿا، پر جيتوڻيڪ Suricata انجڻ تيزيء سان ڪم ڪري ٿو، نه تمام وسيع چينلن لاء، هي بنيادي اهميت نه آهي.
لڳائڻ جا اختيار
IPS کي لازمي طور تي رکيل هجي ته جيئن سسٽم پنهنجي ڪنٽرول هيٺ نيٽ ورڪ حصن جي نگراني ڪري سگهي. گهڻو ڪري، هي هڪ وقف ڪمپيوٽر آهي، جنهن مان هڪ انٽرفيس ڪنيڪشن ڊوائيسز کان پوء ڳنڍيل آهي ۽ "ڏسڻ" انهن جي ذريعي غير محفوظ عوامي نيٽ ورڪ (انٽرنيٽ) ۾. هڪ ٻيو IPS انٽرفيس محفوظ ٿيل حصي جي ان پٽ سان ڳنڍيل آهي ته جيئن سموري ٽرئفڪ سسٽم مان گذري ۽ تجزيو ڪيو وڃي. وڌيڪ پيچيده ڪيسن ۾، ڪيترائي محفوظ حصا ٿي سگھن ٿا: مثال طور، ڪارپوريٽ نيٽ ورڪن ۾ هڪ غير فوجي زون (DMZ) اڪثر مختص ڪيو ويندو آهي انٽرنيٽ تان رسائي جي خدمتن سان.
اهڙو IPS بندرگاهن اسڪيننگ يا پاسورڊ برٽ فورس حملن کي روڪي سگهي ٿو، ميل سرور، ويب سرور يا اسڪرپٽ ۾ ڪمزورين جو استحصال، گڏوگڏ ٻين قسمن جي ٻاهرين حملن کي. جيڪڏهن مقامي نيٽ ورڪ تي ڪمپيوٽر مالويئر سان متاثر ٿيل آهن، IDS انهن کي ٻاهران واقع botnet سرور سان رابطو ڪرڻ جي اجازت نه ڏيندو. اندروني نيٽ ورڪ جي وڌيڪ سنجيده تحفظ لاء، هڪ پيچيده ترتيب سان ورهايل سسٽم ۽ قيمتي منظم سوئچز جيڪي بندرگاهن مان هڪ سان ڳنڍيل IDS انٽرفيس لاء ٽرئفڪ کي آئيني ڪرڻ جي قابل هوندا، گهڻو ڪري گهربل هوندا.
ڪارپوريٽ نيٽ ورڪ اڪثر ڪري تقسيم ٿيل انڪار جي خدمت (DDoS) حملن جي تابع آهن. جيتوڻيڪ جديد IDS انهن سان ڊيل ڪري سگهي ٿو، مٿي ڏنل ترتيب ڏيڻ جو اختيار هتي مدد ڪرڻ ممڪن ناهي. سسٽم بدڪاري واري سرگرمي کي سڃاڻيندو ۽ غلط ٽريفڪ کي بلاڪ ڪندو، پر ائين ڪرڻ لاءِ، پيڪٽس کي خارجي انٽرنيٽ ڪنيڪشن مان گذرڻو پوندو ۽ ان جي نيٽ ورڪ انٽرفيس تائين پهچڻو پوندو. حملي جي شدت تي مدار رکندي، ڊيٽا ٽرانسميشن چينل شايد لوڊ کي منهن ڏيڻ جي قابل نه هوندا ۽ حملي ڪندڙن جو مقصد حاصل ڪيو ويندو. اهڙين حالتن لاءِ، اسان سفارش ڪريون ٿا IDS کي ترتيب ڏيو هڪ ورچوئل سرور تي واضح طور تي وڌيڪ طاقتور انٽرنيٽ ڪنيڪشن سان. توهان VPN ذريعي مقامي نيٽ ورڪ سان VPS کي ڳنڍي سگهو ٿا، ۽ پوء توهان کي ان جي ذريعي سڀني خارجي ٽرئفڪ جي رستي کي ترتيب ڏيڻ جي ضرورت پوندي. پوء، هڪ DDoS حملي جي صورت ۾، توهان کي فراهم ڪندڙ جي ڪنيڪشن ذريعي پيڪيٽس موڪلڻ جي ضرورت نه هوندي؛ اهي ٻاهرئين نوڊ تي بلاڪ ڪيا ويندا.
پسند جو مسئلو
آزاد نظام جي وچ ۾ اڳواڻ جي سڃاڻپ ڪرڻ تمام ڏکيو آهي. IDS/IPS جو انتخاب نيٽ ورڪ ٽوپولوجي، گھربل حفاظتي ڪمن، ۽ گڏوگڏ منتظم جي ذاتي ترجيحن ۽ سيٽنگن سان ٽڪرائڻ جي سندس خواهش جي ذريعي طئي ڪيو ويندو آهي. Snort هڪ ڊگهي تاريخ آهي ۽ بهتر دستاويز آهي، جيتوڻيڪ Suricata تي معلومات آن لائن ڳولڻ پڻ آسان آهي. ڪنهن به صورت ۾، سسٽم ۾ مهارت حاصل ڪرڻ لاءِ توهان کي ڪجهه ڪوششون ڪرڻيون پونديون، جيڪي آخرڪار ادا ڪنديون - تجارتي هارڊويئر ۽ هارڊويئر-سافٽ ويئر IDS/IPS ڪافي مهانگا آهن ۽ هميشه بجيٽ ۾ نه ٿا اچن. وقت ضايع ڪرڻ تي افسوس ڪرڻ جو ڪو به فائدو ناهي، ڇاڪاڻ ته هڪ سٺو منتظم هميشه ملازم جي خرچ تي پنهنجي صلاحيتن کي بهتر بڻائي ٿو. هن صورتحال ۾، هرڪو فتح ڪندو. ايندڙ آرٽيڪل ۾ اسين ڪجهه Suricata جي ترتيب ڏيڻ جي اختيارن تي نظر ڪنداسين ۽ هڪ وڌيڪ جديد سسٽم کي عملي طور تي کلاسک IDS/IPS Snort سان مقابلو ڪنداسين.
جو ذريعو: www.habr.com