Nekoč sta za zaščito lokalnega omrežja zadostovala že navaden požarni zid in protivirusni programi, vendar takšen nabor ni več dovolj učinkovit pred napadi sodobnih hekerjev in zlonamerne programske opreme, ki se je v zadnjem času močno razširila. Dobri stari požarni zid analizira samo glave paketov in jih posreduje ali blokira v skladu z nizom formalnih pravil. O vsebini paketov ne ve ničesar, zato ne more prepoznati navzven legitimnih dejanj vsiljivcev. Protivirusni programi ne ujamejo vedno zlonamerne programske opreme, zato se skrbnik sooči z nalogo spremljanja nepravilne dejavnosti in pravočasne osamitve okuženih gostiteljev.
Obstaja veliko naprednih orodij, ki vam omogočajo zaščito IT infrastrukture podjetja. Danes bomo govorili o odprtokodnih sistemih za zaznavanje in preprečevanje vdorov, ki jih je mogoče implementirati brez nakupa dragih licenc strojne in programske opreme.
Klasifikacija IDS/IPS
IDS (Intrusion Detection System) je sistem, namenjen registraciji sumljivih dejavnosti v omrežju ali na ločenem računalniku. Vodi dnevnike dogodkov in o njih obvešča odgovorno osebo za informacijsko varnost. IDS vključuje naslednje elemente:
- senzorji za pregled omrežnega prometa, raznih dnevnikov itd.
- podsistem za analizo, ki v prejetih podatkih zazna znake škodljivih učinkov;
- shranjevanje za kopičenje primarnih dogodkov in rezultatov analiz;
- upravljalna konzola.
Sprva so bili IDS razvrščeni glede na lokacijo: lahko so bili osredotočeni na zaščito posameznih vozlišč (na gostitelju ali Host Intrusion Detection System - HIDS) ali na zaščito celotnega omrežja podjetja (network-based ali Network Intrusion Detection System - NIDS). Omeniti velja tudi t.i. APIDS (IDS, ki temelji na aplikacijskem protokolu): Spremljajo omejen nabor protokolov aplikacijskega sloja za odkrivanje specifičnih napadov in ne analizirajo globoko omrežnih paketov. Takšni izdelki so običajno podobni posrednikom in se uporabljajo za zaščito določenih storitev: spletnega strežnika in spletnih aplikacij (na primer napisanih v PHP), strežnikov baz podatkov itd. Tipičen predstavnik tega razreda je mod_security za spletni strežnik Apache.
Bolj nas zanimajo univerzalni NIDS, ki podpirajo široko paleto komunikacijskih protokolov in tehnologij za analizo paketov DPI (Deep Packet Inspection). Spremljajo ves prehodni promet, začenši s slojem podatkovne povezave, in zaznavajo širok spekter omrežnih napadov ter nepooblaščen dostop do informacij. Pogosto imajo takšni sistemi porazdeljeno arhitekturo in lahko komunicirajo z različno aktivno omrežno opremo. Upoštevajte, da so številni sodobni NIDS hibridni in združujejo več pristopov. Odvisno od konfiguracije in nastavitev lahko rešijo različne težave - na primer zaščito enega vozlišča ali celotnega omrežja. Poleg tega so funkcije IDS za delovne postaje prevzeli protivirusni paketi, ki so se zaradi širjenja trojancev, namenjenih kraji informacij, spremenili v večnamenske požarne zidove, ki rešujejo tudi naloge prepoznavanja in blokiranja sumljivega prometa.
Sprva je IDS lahko zaznal samo dejavnost zlonamerne programske opreme, skenerje vrat ali, recimo, uporabniške kršitve varnostnih politik podjetja. Ko je prišlo do določenega dogodka, so o tem obvestili skrbnika, a se je hitro izkazalo, da samo prepoznavanje napada ni dovolj, temveč ga je treba blokirati. Tako se je IDS preoblikoval v IPS (Intrusion Prevention Systems) - sisteme za preprečevanje vdorov, ki lahko komunicirajo s požarnimi zidovi.
Metode odkrivanja
Sodobne rešitve za odkrivanje in preprečevanje vdorov uporabljajo različne metode za odkrivanje zlonamerne dejavnosti, ki jih lahko razdelimo v tri kategorije. To nam daje še eno možnost za razvrščanje sistemov:
- IDS/IPS, ki temelji na podpisu, išče vzorce v prometu ali spremlja spremembe stanja sistema, da zazna omrežni napad ali poskus okužbe. Praktično ne dajejo neuspelih vžigov in lažnih pozitivnih rezultatov, vendar ne morejo zaznati neznanih groženj;
- IDS, ki zaznavajo anomalije, ne uporabljajo podpisov napada. Prepoznajo nenormalno vedenje informacijskih sistemov (vključno z anomalijami v omrežnem prometu) in lahko zaznajo celo neznane napade. Takšni sistemi dajejo precej lažnih pozitivnih rezultatov in ob nepravilni uporabi paralizirajo delovanje lokalnega omrežja;
- IDS, ki temeljijo na pravilih, delujejo kot: če DEJSTVO, potem DEJANJE. Pravzaprav so to ekspertni sistemi z bazami znanja – nizom dejstev in pravil sklepanja. Takšne rešitve zahtevajo veliko časa za nastavitev in zahtevajo, da skrbnik podrobno razume omrežje.
Zgodovina razvoja IDS
Obdobje hitrega razvoja interneta in korporativnih omrežij se je začelo v 90. letih prejšnjega stoletja, vendar so strokovnjake nekoliko prej zmedle napredne tehnologije za varnost omrežja. Leta 1986 sta Dorothy Denning in Peter Neumann objavila model IDES (Intrusion detection expert system), ki je postal osnova večine sodobnih sistemov za odkrivanje vdorov. Uporabila je ekspertni sistem za prepoznavanje znanih napadov, pa tudi statistične metode in profile uporabnik/sistem. IDES je deloval na delovnih postajah Sun, preverjal je omrežni promet in podatke aplikacij. Leta 1993 je bil izdan NIDES (Next-generation Intrusion Detection Expert System) - ekspertni sistem nove generacije za zaznavanje vdorov.
Na podlagi dela Denninga in Neumanna se je leta 1988 pojavil ekspertni sistem MIDAS (Multics intrusion detection and alerting system), ki uporablja P-BEST in LISP. Hkrati je nastal sistem Haystack, ki temelji na statističnih metodah. Drug statistični detektor nepravilnosti, W&S (Wisdom & Sense), je bil razvit leto kasneje v Nacionalnem laboratoriju Los Alamos. Razvoj industrije je potekal hitro. Na primer, leta 1990 je bilo odkrivanje nepravilnosti že implementirano v sistem TIM (Time-based inductive machine) z uporabo induktivnega učenja na zaporednih uporabniških vzorcih (jezik Common LISP). NSM (Network Security Monitor) je primerjal matrike dostopa za odkrivanje anomalij, ISOA (Information Security Officer's Assistant) pa je podpiral različne strategije odkrivanja: statistične metode, preverjanje profilov in ekspertni sistem. Sistem ComputerWatch, ki so ga ustvarili v AT & T Bell Labs, je uporabljal tako statistične metode kot pravila za preverjanje, razvijalci Univerze v Kaliforniji pa so leta 1991 prejeli prvi prototip porazdeljenega IDS - strokovnjak je bil tudi DIDS (Distributed intrusion detection system). sistem.
Sprva so bili lastniški IDS, že leta 1998 pa Nacionalni laboratorij. Lawrence na Berkeleyju je izdal Bro (leta 2018 preimenovan v Zeek), odprtokodni sistem, ki uporablja lasten jezik pravil za razčlenjevanje podatkov libpcap. Novembra istega leta se je pojavil paketni sniffer APE z uporabo libpcap, ki se je mesec dni kasneje preimenoval v Snort in kasneje postal polnopravni IDS / IPS. Istočasno so se začele pojavljati številne lastniške rešitve.
Smrkanje in Suricata
Mnoga podjetja imajo raje brezplačen in odprtokodni IDS/IPS. Dolgo časa je že omenjeni Snort veljal za standardno rešitev, zdaj pa ga je nadomestil sistem Suricata. Razmislite o njihovih prednostih in slabostih nekoliko podrobneje. Snort združuje prednosti metode podpisa s sprotnim odkrivanjem nepravilnosti. Suricata omogoča tudi druge metode poleg zaznavanja podpisa napada. Sistem je ustvarila skupina razvijalcev, ki se je odcepila od projekta Snort in podpira funkcije IPS od različice 1.4, medtem ko se je preprečevanje vdorov pojavilo v Snortu kasneje.
Glavna razlika med obema priljubljenima izdelkoma je zmožnost Suricate, da uporablja GPE za računalništvo IDS, pa tudi naprednejši IPS. Sistem je bil prvotno zasnovan za večnitnost, medtem ko je Snort enoniten izdelek. Zaradi svoje dolge zgodovine in podedovane kode ne izkorišča optimalno večprocesorskih/večjedrnih strojnih platform, medtem ko lahko Suricata obravnava promet do 10 Gbps na običajnih računalnikih za splošno uporabo. O podobnostih in razlikah med obema sistemoma lahko govorite dolgo časa, a čeprav motor Suricata deluje hitreje, za ne preveč široke kanale to ni pomembno.
Možnosti uvajanja
IPS mora biti postavljen tako, da lahko sistem spremlja segmente omrežja pod svojim nadzorom. Najpogosteje je to namenski računalnik, katerega en vmesnik se poveže po robnih napravah in prek njih »gleda« v nezavarovana javna omrežja (internet). Drugi vmesnik IPS je povezan z vhodom zaščitenega segmenta, tako da ves promet poteka skozi sistem in se analizira. V bolj zapletenih primerih je lahko več zaščitenih segmentov: na primer, v omrežjih podjetij je demilitarizirano območje (DMZ) pogosto dodeljeno storitvam, dostopnim prek interneta.
Takšen IPS lahko prepreči skeniranje vrat ali napade s surovo silo, izkoriščanje ranljivosti v poštnem strežniku, spletnem strežniku ali skriptih ter druge vrste zunanjih napadov. Če so računalniki v lokalnem omrežju okuženi z zlonamerno programsko opremo, jim IDS ne bo dovolil stika s strežniki botnetov, ki se nahajajo zunaj. Resnejša zaščita notranjega omrežja bo najverjetneje zahtevala kompleksno konfiguracijo s porazdeljenim sistemom in dragimi upravljanimi stikali, ki bodo zmogla zrcaljenje prometa za vmesnik IDS, priključen na enega od vrat.
Omrežja podjetij so pogosto predmet porazdeljenih napadov zavrnitve storitve (DDoS). Čeprav se sodobni IDS lahko spopadejo z njimi, zgornja možnost uvajanja tukaj ni v veliko pomoč. Sistem prepozna zlonamerno dejavnost in blokira lažni promet, vendar morajo za to paketi iti skozi zunanjo internetno povezavo in doseči njen omrežni vmesnik. Odvisno od intenzivnosti napada se lahko zgodi, da kanal za prenos podatkov ne bo kos obremenitvi in bo cilj napadalcev dosežen. V takih primerih priporočamo namestitev IDS na virtualni strežnik z znano boljšo internetno povezavo. VPS lahko povežete z lokalnim omrežjem prek VPN-ja, nato pa boste morali prek njega konfigurirati usmerjanje vsega zunanjega prometa. Potem vam v primeru DDoS napada ne bo treba voziti paketov skozi povezavo do ponudnika, blokirani bodo na zunanjem gostitelju.
Problem izbire
Med brezplačnimi sistemi je zelo težko prepoznati vodilnega. Izbira IDS / IPS je odvisna od topologije omrežja, potrebnih zaščitnih funkcij, pa tudi osebnih preferenc skrbnika in njegove želje po igranju z nastavitvami. Snort ima daljšo zgodovino in je bolje dokumentiran, čeprav je informacije o Suricati enostavno najti tudi na spletu. Vsekakor se boste morali za obvladovanje sistema potruditi, kar se bo sčasoma izplačalo - komercialna strojna in strojno-programska oprema IDS / IPS sta precej draga in ne ustrezata vedno proračunu. Ne bi smeli obžalovati porabljenega časa, saj dober skrbnik vedno izboljša svoje kvalifikacije na račun delodajalca. V tej situaciji zmagajo vsi. V naslednjem članku si bomo ogledali nekaj možnosti uvedbe Suricate in primerjali sodobnejši sistem s klasičnim IDS/IPS Snort v praksi.
Vir: www.habr.com