Kedysi na ochranu lokálnej siete stačil obyčajný firewall a antivírusové programy, no proti útokom moderných hackerov a v poslednej dobe sa rozmáhajúcemu malvéru už takáto zostava nestačí. Starý dobrý firewall analyzuje iba hlavičky paketov, pričom ich odovzdáva alebo blokuje v súlade so súborom formálnych pravidiel. Nevie nič o obsahu balíkov, a preto nedokáže rozpoznať navonok legitímne činy narušiteľov. Antivírusové programy nie vždy zachytia malvér, takže správca stojí pred úlohou monitorovať anomálnu aktivitu a včas izolovať infikované počítače.
Existuje mnoho pokročilých nástrojov, ktoré umožňujú chrániť firemnú IT infraštruktúru. Dnes si povieme niečo o open source systémoch detekcie a prevencie narušenia, ktoré je možné implementovať bez nákupu drahých hardvérových a softvérových licencií.
Klasifikácia IDS/IPS
IDS (Intrusion Detection System) je systém určený na registráciu podozrivých aktivít v sieti alebo na samostatnom počítači. Vedie denníky udalostí a informuje o nich osobu zodpovednú za bezpečnosť informácií. IDS obsahuje nasledujúce prvky:
- senzory na prezeranie sieťovej prevádzky, rôzne logy a pod.
- analytický subsystém, ktorý zisťuje známky škodlivých účinkov v prijatých údajoch;
- ukladanie na akumuláciu primárnych udalostí a výsledkov analýzy;
- konzola na správu.
Spočiatku boli IDS klasifikované podľa umiestnenia: mohli byť zamerané na ochranu jednotlivých uzlov (host-based alebo Host Intrusion Detection System - HIDS) alebo na ochranu celej podnikovej siete (network-based alebo Network Intrusion Detection System - NIDS). Za zmienku stojí tzv. APIDS (IDS založené na aplikačnom protokole): Monitorujú obmedzený súbor protokolov aplikačnej vrstvy na detekciu špecifických útokov a neanalyzujú hĺbkovo sieťové pakety. Takéto produkty sa zvyčajne podobajú proxy a používajú sa na ochranu špecifických služieb: webový server a webové aplikácie (napríklad napísané v PHP), databázové servery atď. Typickým predstaviteľom tejto triedy je mod_security pre webový server Apache.
Viac nás zaujímajú univerzálne NIDS, ktoré podporujú širokú škálu komunikačných protokolov a technológií analýzy paketov DPI (Deep Packet Inspection). Monitorujú všetku prechádzajúcu prevádzku, počnúc vrstvou dátového spojenia, a zisťujú širokú škálu sieťových útokov, ako aj neoprávnený prístup k informáciám. Takéto systémy majú často distribuovanú architektúru a môžu interagovať s rôznymi aktívnymi sieťovými zariadeniami. Všimnite si, že mnohé moderné NIDS sú hybridné a kombinujú niekoľko prístupov. V závislosti od konfigurácie a nastavení dokážu riešiť rôzne problémy – napríklad ochranu jedného uzla alebo celej siete. Funkcie IDS pre pracovné stanice navyše prevzali antivírusové balíky, ktoré sa v dôsledku šírenia trójskych koní zameraných na kradnutie informácií zmenili na multifunkčné firewally, ktoré riešia aj úlohy rozpoznávania a blokovania podozrivej prevádzky.
Spočiatku IDS dokázalo detegovať iba aktivitu škodlivého softvéru, skenery portov alebo, povedzme, používateľské porušenia podnikových bezpečnostných zásad. Keď nastala určitá udalosť, upozornili administrátora, no rýchlo sa ukázalo, že len rozpoznanie útoku nestačí – treba ho zablokovať. IDS sa teda pretransformoval na IPS (Intrusion Prevention Systems) – systémy na prevenciu narušenia, ktoré môžu interagovať s firewallmi.
Detekčné metódy
Moderné riešenia detekcie a prevencie narušenia využívajú rôzne metódy na detekciu škodlivej činnosti, ktorú možno rozdeliť do troch kategórií. To nám dáva ďalšiu možnosť klasifikácie systémov:
- IDS/IPS na základe podpisu hľadá vzory v prevádzke alebo monitoruje zmeny stavu systému, aby zistil sieťový útok alebo pokus o infekciu. Prakticky nedávajú chybné zážihy a falošné poplachy, ale nie sú schopné identifikovať neznáme hrozby;
- IDS na detekciu anomálií nepoužívajú signatúry útoku. Rozpoznajú abnormálne správanie informačných systémov (vrátane anomálií v sieťovej prevádzke) a dokážu odhaliť aj neznáme útoky. Takéto systémy poskytujú pomerne veľa falošných poplachov a pri nesprávnom použití paralyzujú prevádzku lokálnej siete;
- IDS založené na pravidlách fungujú takto: ak FAKT, tak AKCIA. V skutočnosti ide o expertné systémy s bázami znalostí – súborom faktov a pravidiel vyvodzovania. Takéto riešenia sú časovo náročné na nastavenie a vyžadujú, aby správca podrobne porozumel sieti.
História vývoja IDS
Éra prudkého rozvoja internetu a firemných sietí sa začala v 90. rokoch minulého storočia, no odborníci si lámali hlavu nad pokročilými technológiami sieťovej bezpečnosti už o niečo skôr. V roku 1986 Dorothy Denning a Peter Neumann publikovali model IDES (Intrusion detection expert system), ktorý sa stal základom najmodernejších systémov detekcie narušenia. Na identifikáciu známych útokov použila expertný systém, ako aj štatistické metódy a profily používateľov/systémov. IDES bežal na pracovných staniciach Sun a kontroloval sieťovú prevádzku a dáta aplikácií. V roku 1993 bol vydaný NIDES (Next-generation Intrusion Detection Expert System) - expertný systém novej generácie na detekciu narušenia.
Na základe práce Denninga a Neumanna sa v roku 1988 objavil expertný systém MIDAS (Multics Intrusion Detection and Alarming system), využívajúci P-BEST a LISP. Zároveň bol vytvorený systém Haystack založený na štatistických metódach. Ďalší detektor štatistických anomálií, W&S (Wisdom & Sense), bol vyvinutý o rok neskôr v Los Alamos National Laboratory. Rozvoj priemyslu napredoval rýchlym tempom. Napríklad v roku 1990 už bola detekcia anomálií implementovaná v systéme TIM (Time-based indukčný stroj) pomocou indukčného učenia na sekvenčných používateľských vzoroch (Common LISP language). NSM (Network Security Monitor) porovnával prístupové matice pre detekciu anomálií a ISOA (Information Security Officer's Assistant) podporoval rôzne detekčné stratégie: štatistické metódy, kontrolu profilu a expertný systém. Systém ComputerWatch vytvorený v laboratóriách AT & T Bell využíval na overenie štatistické metódy aj pravidlá a vývojári z Kalifornskej univerzity dostali prvý prototyp distribuovaného IDS už v roku 1991 - expertom bol aj DIDS (Distributed Intrusion Detection system). systém.
Najprv boli IDS proprietárne, ale už v roku 1998 Národné laboratórium. Lawrence v Berkeley vydal Bro (v roku 2018 premenovaný na Zeek), open source systém, ktorý používa vlastný jazyk pravidiel na analýzu údajov libpcap. V novembri toho istého roku sa objavil sniffer paketov APE pomocou libpcap, ktorý bol o mesiac neskôr premenovaný na Snort a neskôr sa stal plnohodnotným IDS / IPS. Zároveň sa začali objavovať mnohé proprietárne riešenia.
Snort a Suricata
Mnoho spoločností uprednostňuje bezplatné a open source IDS/IPS. Dlho sa za štandardné riešenie považoval už spomínaný Snort, no teraz ho nahradil systém Suricata. Zvážte ich výhody a nevýhody trochu podrobnejšie. Snort kombinuje výhody podpisovej metódy so schopnosťou odhaliť anomálie v reálnom čase. Suricata umožňuje okrem detekcie podpisov útokov aj iné metódy. Systém bol vytvorený skupinou vývojárov, ktorí sa oddelili od projektu Snort a podporuje funkcie IPS od verzie 1.4, pričom prevencia vniknutia sa objavila v Snorte neskôr.
Hlavným rozdielom medzi týmito dvoma populárnymi produktmi je schopnosť Suricaty používať GPU pre IDS výpočty, ako aj pokročilejšie IPS. Systém bol pôvodne navrhnutý pre viacvláknové spracovanie, zatiaľ čo Snort je jednovláknový produkt. Kvôli svojej dlhej histórii a staršiemu kódu nevyužíva optimálne multiprocesorové/viacjadrové hardvérové platformy, zatiaľ čo Suricata dokáže spracovať prevádzku až do 10 Gbps na bežných počítačoch na všeobecné použitie. O podobnostiach a rozdieloch medzi týmito dvoma systémami sa dá hovoriť dlho, ale hoci motor Suricata pracuje rýchlejšie, pre nie príliš široké kanály to nevadí.
Možnosti nasadenia
IPS musí byť umiestnené tak, aby systém mohol monitorovať segmenty siete, ktoré má pod kontrolou. Najčastejšie ide o vyhradený počítač, ktorého jedno rozhranie sa pripája za okrajovými zariadeniami a „prezerá“ cez ne nezabezpečené verejné siete (internet). Ďalšie IPS rozhranie je pripojené na vstup chráneného segmentu, takže všetka prevádzka prechádza systémom a je analyzovaná. V zložitejších prípadoch môže ísť o viacero chránených segmentov: napríklad v podnikových sieťach je často vyčlenená demilitarizovaná zóna (DMZ) so službami dostupnými z internetu.
Takýto IPS môže zabrániť skenovaniu portov alebo útokom hrubou silou, zneužitiu zraniteľností v poštovom serveri, webovom serveri alebo skriptoch, ako aj iným typom externých útokov. Ak sú počítače v lokálnej sieti infikované škodlivým softvérom, IDS im nedovolí kontaktovať servery botnetov umiestnené mimo. Vážnejšia ochrana internej siete si s najväčšou pravdepodobnosťou vyžiada komplexnú konfiguráciu s distribuovaným systémom a drahými riadenými prepínačmi schopnými zrkadliť prevádzku pre IDS rozhranie pripojené k jednému z portov.
Firemné siete sú často vystavené útokom distribuovaného odmietnutia služby (DDoS). Aj keď si s nimi moderné IDS dokážu poradiť, vyššie uvedená možnosť nasadenia tu nepomôže. Systém rozpozná škodlivú aktivitu a zablokuje falošnú komunikáciu, ale na to musia pakety prejsť cez externé internetové pripojenie a dostať sa do jeho sieťového rozhrania. V závislosti od intenzity útoku sa môže stať, že kanál prenosu dát nebude schopný zvládnuť záťaž a cieľ útočníkov bude dosiahnutý. Pre takéto prípady odporúčame nasadiť IDS na virtuálny server so známym lepším internetovým pripojením. VPS môžete pripojiť k lokálnej sieti prostredníctvom VPN a potom budete musieť nakonfigurovať smerovanie všetkej externej prevádzky cez ňu. Potom v prípade DDoS útoku nebudete musieť hnať pakety cez pripojenie k poskytovateľovi, budú zablokované na externom hostiteľovi.
Problém výberu
Je veľmi ťažké identifikovať lídra medzi voľnými systémami. Výber IDS / IPS je určený topológiou siete, potrebnými bezpečnostnými prvkami, ako aj osobnými preferenciami správcu a jeho túžbou pohrať sa s nastaveniami. Snort má dlhšiu históriu a je lepšie zdokumentovaný, hoci informácie o Suricate sa dajú ľahko nájsť aj online. V každom prípade, na zvládnutie systému budete musieť vynaložiť určité úsilie, ktoré sa nakoniec vyplatí - komerčný hardvér a hardvérovo-softvérové IDS / IPS sú dosť drahé a nie vždy sa zmestia do rozpočtu. Nemali by ste ľutovať strávený čas, pretože dobrý správca si vždy zvyšuje kvalifikáciu na úkor zamestnávateľa. V tejto situácii vyhráva každý. V ďalšom článku sa pozrieme na niektoré možnosti nasadenia Suricaty a porovnáme modernejší systém s klasickým IDS/IPS Snort v praxi.
Zdroj: hab.com