Snort හෝ Suricata. 1 කොටස: ඔබේ ආයතනික ජාලය ආරක්ෂා කිරීම සඳහා නොමිලේ IDS/IPS තෝරා ගැනීම

වරෙක, දේශීය ජාලයක් ආරක්ෂා කිරීම සඳහා සාමාන්‍ය ෆයර්වෝල් සහ ප්‍රති-වයිරස වැඩසටහන් ප්‍රමාණවත් විය, නමුත් එවැනි කට්ටලයක් නවීන හැකර්වරුන්ගේ ප්‍රහාරවලට සහ මෑතකදී පැතිරී ඇති අනිෂ්ට මෘදුකාංග වලට එරෙහිව තවදුරටත් ප්‍රමාණවත් නොවේ. හොඳ පැරණි ෆයර්වෝලයක් පැකට් ශීර්ෂ විශ්ලේෂණය පමණක් සිදු කරයි, විධිමත් නීති මාලාවකට අනුව ඒවාට ඉඩ දීම හෝ අවහිර කිරීම. එය පැකට් වල අන්තර්ගතය ගැන කිසිවක් නොදන්නා අතර, එබැවින් ප්‍රහාරකයින්ගේ නීත්‍යානුකූල ක්‍රියාවන් හඳුනා ගත නොහැක. ප්‍රති-වයිරස වැඩසටහන් සෑම විටම අනිෂ්ට මෘදුකාංග අල්ලා නොගනී, එබැවින් අසාමාන්‍ය ක්‍රියාකාරකම් නිරීක්ෂණය කිරීම සහ ආසාදිත ධාරක කාලෝචිත ලෙස හුදකලා කිරීමේ කාර්යයට පරිපාලකයා මුහුණ දෙයි.

සමාගමක තොරතුරු තාක්ෂණ යටිතල පහසුකම් ආරක්ෂා කිරීම සඳහා බොහෝ දියුණු මෙවලම් තිබේ. අද අපි මිල අධික උපකරණ සහ මෘදුකාංග බලපත්‍ර මිලදී නොගෙන ක්‍රියාත්මක කළ හැකි විවෘත මූලාශ්‍ර ආක්‍රමණය හඳුනාගැනීම සහ වැළැක්වීමේ පද්ධති ගැන කතා කරමු.

IDS/IPS වර්ගීකරණය

IDS (Intrusion Detection System) යනු ජාලයක හෝ තනි පරිගණකයක සැක කටයුතු ක්‍රියාකාරකම් ලියාපදිංචි කිරීම සඳහා නිර්මාණය කර ඇති පද්ධතියකි. එය සිදුවීම් ලොග් තබා ගන්නා අතර ඒවා පිළිබඳ තොරතුරු ආරක්ෂාව සඳහා වගකිව යුතු සේවකයාට දැනුම් දෙයි. පහත සඳහන් අංග IDS හි කොටසක් ලෙස වෙන්කර හඳුනාගත හැකිය:

• ජාල ගමනාගමනය, විවිධ ලඝු-සටහන් ආදිය බැලීම සඳහා සංවේදක. 
• ලැබුණු දත්තවල අනිෂ්ට බලපෑමේ සලකුනු හඳුනා ගන්නා විශ්ලේෂණ උප පද්ධතියක්;
• ප්රාථමික සිදුවීම් සහ විශ්ලේෂණ ප්රතිඵල සමුච්චය කිරීම සඳහා ගබඩා කිරීම;
• කළමනාකරණ කොන්සෝලය.

මුලදී, IDS ස්ථානය අනුව වර්ගීකරණය කරන ලදී: ඒවා තනි නෝඩ් (ධාරක පාදක හෝ ධාරක ආක්‍රමණ හඳුනාගැනීමේ පද්ධතිය - HIDS) ආරක්ෂා කිරීම හෝ සමස්ත ආයතනික ජාලය (ජාල මත පදනම් වූ හෝ ජාල ආක්‍රමණය හඳුනාගැනීමේ පද්ධතිය - NIDS) ආරක්ෂා කිරීම කෙරෙහි අවධානය යොමු කළ හැකිය. එය ඊනියා සඳහන් කිරීම වටී APIDS (යෙදුම් ප්‍රොටෝකෝලය මත පදනම් වූ IDS): ඔවුන් විශේෂිත ප්‍රහාර හඳුනා ගැනීම සඳහා සීමිත යෙදුම් මට්ටමේ ප්‍රොටෝකෝල මාලාවක් නිරීක්ෂණය කරන අතර ජාල පැකට් පිළිබඳ ගැඹුරු විශ්ලේෂණයක් නොකරයි. එවැනි නිෂ්පාදන සාමාන්‍යයෙන් ප්‍රොක්සි වලට සමාන වන අතර විශේෂිත සේවාවන් ආරක්ෂා කිරීමට භාවිතා කරයි: වෙබ් සේවාදායකයක් සහ වෙබ් යෙදුම් (උදාහරණයක් ලෙස, PHP වලින් ලියා ඇත), දත්ත සමුදා සේවාදායකයක් යනාදිය. මෙම පන්තියේ සාමාන්‍ය උදාහරණයක් වන්නේ Apache වෙබ් සේවාදායකය සඳහා වන mod_security වේ.

පුළුල් පරාසයක සන්නිවේදන ප්‍රොටෝකෝල සහ DPI (Deep Packet Inspection) තාක්ෂණයන් සඳහා සහය වන විශ්වීය NIDS ගැන අපි වඩාත් උනන්දු වෙමු. ඔවුන් දත්ත සම්බන්ධක ස්තරයේ සිට ගමන් කරන සියලුම මාර්ග තදබදය නිරීක්ෂණය කරන අතර පුළුල් පරාසයක ජාල ප්‍රහාර මෙන්ම තොරතුරු වෙත අනවසරයෙන් ප්‍රවේශ වීමේ උත්සාහයන් හඳුනා ගනී. බොහෝ විට එවැනි පද්ධති බෙදා හරින ලද ගෘහ නිර්මාණ ශිල්පයක් ඇති අතර විවිධ ක්රියාකාරී ජාල උපකරණ සමඟ අන්තර් ක්රියා කළ හැකිය. බොහෝ නවීන NIDS දෙමුහුන් වන අතර ප්රවේශයන් කිහිපයක් ඒකාබද්ධ කරන බව සලකන්න. වින්‍යාසය සහ සැකසුම් මත පදනම්ව, ඔවුන්ට විවිධ ගැටළු විසඳා ගත හැකිය - නිදසුනක් ලෙස, එක් නෝඩයක් හෝ සමස්ත ජාලයම ආරක්ෂා කිරීම. මීට අමතරව, වැඩපොළවල් සඳහා IDS හි කාර්යයන් ප්‍රති-වයිරස පැකේජ මගින් පවරා ගන්නා ලද අතර, තොරතුරු සොරකම් කිරීම අරමුණු කරගත් ට්‍රෝජන් පැතිරීම හේතුවෙන්, බහුකාර්ය ෆයර්වෝල් බවට පත් වූ අතර එය සැක සහිත ගමනාගමනය හඳුනා ගැනීමේ සහ අවහිර කිරීමේ ගැටළු ද විසඳයි.

මුලදී, IDS හට හඳුනාගත හැක්කේ අනිෂ්ට මෘදුකාංග ක්‍රියාකාරකම්, වරාය ස්කෑනර් හෝ, ආයතනික ආරක්ෂක ප්‍රතිපත්තිවල පරිශීලක උල්ලංඝනයන් පමණි. යම් සිදුවීමක් සිදු වූ විට, ඔවුන් පරිපාලකයාට දැනුම් දුන් නමුත්, ප්රහාරය හඳුනා ගැනීම ප්රමාණවත් නොවන බව ඉක්මනින් පැහැදිලි විය - එය අවහිර කිරීමට අවශ්ය විය. එබැවින් IDS IPS (Intrusion Prevention Systems) බවට පරිවර්තනය විය - ෆයර්වෝල් සමඟ අන්තර්ක්‍රියා කළ හැකි ආක්‍රමණය වැළැක්වීමේ පද්ධති.

හඳුනාගැනීමේ ක්රම

නවීන ආක්‍රමණය හඳුනා ගැනීම සහ වැළැක්වීමේ විසඳුම් ද්වේෂසහගත ක්‍රියාකාරකම් හඳුනා ගැනීම සඳහා විවිධ ක්‍රම භාවිතා කරන අතර ඒවා කාණ්ඩ තුනකට බෙදිය හැකිය. පද්ධති වර්ගීකරණය සඳහා මෙය අපට තවත් විකල්පයක් ලබා දෙයි:

• අත්සන මත පදනම් වූ IDS/IPS මාර්ග තදබදයේ රටා හඳුනා ගැනීම හෝ ජාල ප්‍රහාරයක් හෝ ආසාදන ප්‍රයත්නයක් තීරණය කිරීම සඳහා පද්ධති තත්ත්වයෙහි වෙනස්කම් නිරීක්ෂණය කරයි. ඔවුන් ප්‍රායෝගිකව වැරදි සහ ව්‍යාජ ධනාත්මක කරුණු ලබා නොදේ, නමුත් නොදන්නා තර්ජන හඳුනා ගැනීමට ඔවුන්ට නොහැක;
• විෂමතා හඳුනාගැනීමේ IDS ප්‍රහාරක අත්සන් භාවිතා නොකරයි. ඔවුන් තොරතුරු පද්ධතිවල අසාමාන්‍ය හැසිරීම් හඳුනා ගනී (ජාල ගමනාගමනයේ විෂමතා ඇතුළුව) සහ නොදන්නා ප්‍රහාර පවා හඳුනා ගත හැකිය. එවැනි පද්ධති බොහෝ ව්‍යාජ ධනාත්මක කරුණු ලබා දෙන අතර, වැරදි ලෙස භාවිතා කරන්නේ නම්, දේශීය ජාලයේ ක්‍රියාකාරිත්වය අඩාල කරයි;
• රීති මත පදනම් වූ IDS මූලධර්මය මත ක්‍රියා කරයි: FACT නම් ක්‍රියාව. සාරය වශයෙන්, මේවා දැනුම පදනම් සහිත විශේෂඥ පද්ධති වේ - තාර්කික අනුමාන කිරීමේ කරුණු සහ රීති සමූහයකි. එවැනි විසඳුම් සැකසීමට ශ්රම-දැඩි වන අතර ජාලය පිළිබඳ සවිස්තරාත්මක අවබෝධයක් පරිපාලකයාට අවශ්ය වේ. 

IDS සංවර්ධනයේ ඉතිහාසය

අන්තර්ජාලයේ සහ ආයතනික ජාලවල වේගවත් සංවර්ධනයේ යුගය පසුගිය ශතවර්ෂයේ 90 ගණන්වල ආරම්භ වූ නමුත් විශේෂඥයින් මඳකට පෙර උසස් ජාල ආරක්ෂණ තාක්ෂණයන් විසින් ප්රහේලිකාවක් විය. 1986 දී, ඩොරති ඩෙනිං සහ පීටර් නියුමන් විසින් IDES (ආක්‍රමණය හඳුනාගැනීමේ විශේෂඥ පද්ධතිය) ආකෘතිය ප්‍රකාශයට පත් කරන ලද අතර එය බොහෝ නවීන ආක්‍රමණය හඳුනාගැනීමේ පද්ධතිවල පදනම බවට පත්විය. එය දන්නා ප්‍රහාරක වර්ග මෙන්ම සංඛ්‍යාන ක්‍රම සහ පරිශීලක/පද්ධති පැතිකඩ හඳුනා ගැනීමට විශේෂඥ පද්ධතියක් භාවිතා කළේය. ජාල ගමනාගමනය සහ යෙදුම් දත්ත පරීක්ෂා කරමින් IDES හිරු වැඩපොළවල් මත ධාවනය විය. 1993 දී, NIDES (ඊළඟ පරම්පරාවේ ආක්‍රමණය හඳුනාගැනීමේ විශේෂඥ පද්ධතිය) නිකුත් කරන ලදී - නව පරම්පරාවේ ආක්‍රමණය හඳුනාගැනීමේ විශේෂඥ පද්ධතියකි.

Denning සහ Neumann ගේ කාර්යය මත පදනම්ව, P-BEST සහ LISP භාවිතා කරන MIDAS (Multics intrusion detection and alerting system) විශේෂඥ පද්ධතිය 1988 දී දර්ශනය විය. ඒ සමගම, සංඛ්යානමය ක්රම මත පදනම් වූ Hastack පද්ධතිය නිර්මාණය කරන ලදී. තවත් සංඛ්‍යානමය විෂමතා අනාවරකයක් වන W&S (Wisdom & Sense) වසරකට පසුව Los Alamos ජාතික රසායනාගාරයේදී සංවර්ධනය කරන ලදී. කර්මාන්තය වේගයෙන් සංවර්ධනය වෙමින් පැවතුනි. උදාහරණයක් ලෙස, 1990 දී, TIM (කාලය මත පදනම් වූ ප්‍රේරක යන්ත්‍රය) පද්ධතිය දැනටමත් අනුක්‍රමික පරිශීලක රටා (පොදු LISP භාෂාව) මත ප්‍රේරක ඉගෙනීම භාවිතයෙන් විෂමතා හඳුනාගැනීම ක්‍රියාත්මක කර ඇත. NSM (ජාල ආරක්ෂණ මොනිටරය) විෂමතා හඳුනා ගැනීම සඳහා ප්‍රවේශ න්‍යාස සංසන්දනය කළ අතර ISOA (තොරතුරු ආරක්ෂක නිලධාරියාගේ සහකාර) විවිධ හඳුනාගැනීමේ උපාය මාර්ග සඳහා සහාය විය: සංඛ්‍යාන ක්‍රම, පැතිකඩ පරීක්ෂා කිරීම සහ විශේෂඥ පද්ධතිය. AT&T Bell Labs හි නිර්මාණය කරන ලද ComputerWatch පද්ධතිය සත්‍යාපනය සඳහා සංඛ්‍යානමය ක්‍රම සහ රීති භාවිතා කරන ලද අතර, කැලිෆෝනියා විශ්ව විද්‍යාලයේ සංවර්ධකයින්ට 1991 දී බෙදා හරින ලද IDS හි පළමු මූලාකෘතිය ලැබුණි - DIDS (බෙදා හරින ලද ආක්‍රමණය හඳුනාගැනීමේ පද්ධතිය) ද විශේෂඥ පද්ධතියකි.

මුලදී, IDS හිමිකාර විය, නමුත් දැනටමත් 1998 දී ජාතික රසායනාගාරය. ලෝරන්ස් බර්ක්ලි Libpcap දත්ත විශ්ලේෂණය කිරීම සඳහා හිමිකාර රීති භාෂාවක් භාවිතා කරන විවෘත කේත පද්ධතියක් වන Bro (2018 දී Zeek ලෙස නම් කරන ලදී) නිකුත් කරන ලදී. එම වසරේම නොවැම්බරයේදී, libpcap භාවිතා කරන APE පැකට් ස්නයිෆර් දර්ශනය වූ අතර, මාසයකට පසුව එය Snort ලෙස නම් කරන ලද අතර පසුව එය සම්පූර්ණ IDS/IPS බවට පත් විය. ඒ සමගම, බොහෝ හිමිකාර විසඳුම් පෙනෙන්නට පටන් ගත්තේය.

Snort සහ Suricata

බොහෝ සමාගම් නිදහස් සහ විවෘත කේත IDS/IPS වලට කැමැත්තක් දක්වයි. දිගු කලක් තිස්සේ, දැනටමත් සඳහන් කර ඇති Snort සම්මත විසඳුම ලෙස සලකනු ලැබුවද, දැන් එය Suricata පද්ධතිය මගින් ප්රතිස්ථාපනය කර ඇත. ඔවුන්ගේ වාසි සහ අවාසි ටිකක් විස්තරාත්මකව බලමු. Snort විසින් අත්සන මත පදනම් වූ ක්‍රමයක ප්‍රතිලාභ තත්‍ය කාලීනව විෂමතා හඳුනා ගැනීමේ හැකියාව සමඟ ඒකාබද්ධ කරයි. අත්සන් මගින් පහරදීම් හඳුනාගැනීම හැර වෙනත් ක්‍රම භාවිතා කිරීමටද Suricata ඔබට ඉඩ සලසයි. පද්ධතිය Snort ව්‍යාපෘතියෙන් වෙන් වූ සංවර්ධකයින් කණ්ඩායමක් විසින් නිර්මාණය කරන ලද අතර 1.4 අනුවාදයෙන් ආරම්භ වන IPS කාර්යයන් සඳහා සහය දක්වයි, සහ Snort පසුව ආක්‍රමණය වැළැක්වීමේ හැකියාව හඳුන්වා දුන්නේය.

ජනප්‍රිය නිෂ්පාදන දෙක අතර ඇති ප්‍රධාන වෙනස නම් Suricata හි IDS මාදිලියේ GPU පරිගණනය භාවිතා කිරීමට ඇති හැකියාව මෙන්ම වඩාත් දියුණු IPS ය. පද්ධතිය මුලින් බහු-නූල් සඳහා නිර්මාණය කර ඇති අතර Snort යනු තනි නූල් නිෂ්පාදනයකි. එහි දිගු ඉතිහාසය සහ උරුම කේතය හේතුවෙන්, එය බහු ප්‍රොසෙසර්/බහු කෝර් දෘඪාංග වේදිකා ප්‍රශස්ත ලෙස භාවිතා නොකරයි, නමුත් Suricata හට සාමාන්‍ය පොදු කාර්ය පරිගණකවල 10 Gbps දක්වා ගමනාගමනය හැසිරවිය හැක. පද්ධති දෙක අතර ඇති සමානකම් සහ වෙනස්කම් ගැන අපට දිගු කාලයක් කතා කළ හැකිය, නමුත් Suricata එන්ජිම වේගයෙන් ක්‍රියා කළද, එතරම් පුළුල් නොවන නාලිකා සඳහා මෙය මූලික වැදගත්කමක් නොවේ.

යෙදවීමේ විකල්ප

IPS පද්ධතියට එහි පාලනය යටතේ ඇති ජාල කොටස් නිරීක්ෂණය කළ හැකි ආකාරයෙන් තැබිය යුතුය. බොහෝ විට, මෙය කැපවූ පරිගණකයක් වන අතර, එහි එක් අතුරු මුහුණතක් අද්දර උපාංගවලට පසුව සම්බන්ධ කර ඇති අතර ඒවා හරහා අනාරක්ෂිත පොදු ජාල (අන්තර්ජාලය) වෙත "පෙනුම" වේ. වෙනත් IPS අතුරුමුහුණතක් ආරක්ෂිත කොටසේ ආදානයට සම්බන්ධ කර ඇති අතර එමඟින් සියලුම ගමනාගමනය පද්ධතිය හරහා ගමන් කර විශ්ලේෂණය කෙරේ. වඩාත් සංකීර්ණ අවස්ථාවන්හිදී, ආරක්ෂිත කොටස් කිහිපයක් තිබිය හැකිය: නිදසුනක් ලෙස, ආයතනික ජාල තුළ, බොහෝ විට අන්තර්ජාලයෙන් ප්‍රවේශ විය හැකි සේවාවන් සමඟ හමුදාකරණය කළ කලාපයක් (DMZ) වෙන් කරනු ලැබේ.

එවැනි IPS එකකට port scanning හෝ password brute force attacks, mail server, web server හෝ scripts වල ඇති දුර්වලතා සූරාකෑම මෙන්ම වෙනත් ආකාරයේ බාහිර ප්‍රහාර වැළැක්විය හැක. දේශීය ජාලයේ පරිගණක අනිෂ්ට මෘදුකාංග වලින් ආසාදනය වී ඇත්නම්, IDS ඔවුන්ට පිටත පිහිටා ඇති botnet සේවාදායකයන් සම්බන්ධ කර ගැනීමට ඉඩ නොදේ. අභ්‍යන්තර ජාලයේ වඩාත් බැරෑරුම් ආරක්ෂාව සඳහා, බෙදා හරින ලද පද්ධතියක් සහිත සංකීර්ණ වින්‍යාසයක් සහ එක් වරායකට සම්බන්ධ IDS අතුරුමුහුණත සඳහා ගමනාගමනය පිළිබිඹු කළ හැකි මිල අධික කළමනාකරණ ස්විචයන් බොහෝ විට අවශ්‍ය වනු ඇත.

ආයතනික ජාල බොහෝ විට බෙදා හරින ලද සේවා ප්‍රතික්ෂේප කිරීම් (DDoS) ප්‍රහාරයන්ට යටත් වේ. නවීන IDS ඔවුන් සමඟ කටයුතු කළ හැකි වුවද, ඉහත යෙදවුම් විකල්පය මෙහි උපකාර කිරීමට අපහසුය. පද්ධතිය අනිෂ්ට ක්‍රියාකාරකම් හඳුනාගෙන ව්‍යාජ ගමනාගමනය අවහිර කරනු ඇත, නමුත් මෙය සිදු කිරීම සඳහා, පැකට් බාහිර අන්තර්ජාල සම්බන්ධතාවයක් හරහා ගොස් එහි ජාල අතුරු මුහුණතට ළඟා විය යුතුය. ප්‍රහාරයේ තීව්‍රතාවය අනුව, දත්ත සම්ප්‍රේෂණ නාලිකාවට බර සමඟ සාර්ථකව කටයුතු කිරීමට නොහැකි විය හැකි අතර ප්‍රහාරකයින්ගේ ඉලක්කය සපුරා ගනු ඇත. එවැනි අවස්ථා සඳහා, පැහැදිලිවම වඩා බලවත් අන්තර්ජාල සම්බන්ධතාවයක් සහිත අතථ්‍ය සේවාදායකයක් මත IDS යෙදවීමට අපි නිර්දේශ කරමු. ඔබට VPN හරහා දේශීය ජාලයට VPS සම්බන්ධ කළ හැකිය, එවිට ඔබට එය හරහා සියලුම බාහිර ගමනාගමනය මාර්ගගත කිරීම වින්‍යාස කිරීමට අවශ්‍ය වනු ඇත. එවිට, DDoS ප්‍රහාරයකදී, ඔබට සැපයුම්කරු වෙත සම්බන්ධතාවය හරහා පැකට් යැවීමට සිදු නොවනු ඇත; ඒවා බාහිර නෝඩය මත අවහිර කරනු ලැබේ.

තේරීමේ ගැටලුව

නිදහස් පද්ධති අතර නායකයෙකු හඳුනා ගැනීම ඉතා අපහසුය. IDS/IPS තේරීම ජාල ස්ථලකය, අවශ්‍ය ආරක්ෂක කාර්යයන් මෙන්ම පරිපාලකගේ පුද්ගලික මනාපයන් සහ සැකසුම් සමඟ ටින්කර් කිරීමට ඇති ආශාව අනුව තීරණය වේ. Snort දිගු ඉතිහාසයක් ඇති අතර එය වඩා හොඳින් ලේඛනගත කර ඇත, නමුත් Suricata පිළිබඳ තොරතුරු අන්තර්ජාලය හරහා සොයා ගැනීමට පහසු වේ. ඕනෑම අවස්ථාවක, පද්ධතිය ප්‍රගුණ කිරීමට ඔබට යම් උත්සාහයක් දැරීමට සිදුවනු ඇත, එය අවසානයේ ගෙවනු ඇත - වාණිජ දෘඩාංග සහ දෘඩාංග-මෘදුකාංග IDS / IPS තරමක් මිල අධික වන අතර සෑම විටම අයවැයට නොගැලපේ. කාලය නාස්ති කිරීම ගැන පසුතැවිලි වීමෙන් පලක් නැත, මන්ද හොඳ පරිපාලකයෙකු සෑම විටම සේවායෝජකයාගේ වියදමින් ඔහුගේ කුසලතා වැඩි දියුණු කරයි. මෙම තත්වය තුළ, සෑම කෙනෙකුම ජය ගනී. මීළඟ ලිපියෙන් අපි Suricata යෙදවීමේ විකල්ප කිහිපයක් දෙස බලා වඩාත් නවීන පද්ධතියක් ප්‍රායෝගිකව සම්භාව්‍ය IDS/IPS Snort සමඟ සංසන්දනය කරමු.

මූලාශ්රය: www.habr.com