ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

Beri hore, barnaamijka dab-damiska caadiga ah iyo barnaamijyada ka-hortagga fayraska ayaa ku filan si ay u ilaaliyaan shabakad maxalli ah, laakiin qaabka noocan oo kale ah hadda kuma filna weerarrada hackers-ka casriga ah iyo malware-ka oo sii kordhay dhawaanahan. Dab-damis duug ah oo wanaagsan ayaa kaliya falanqeeya madaxyada xirmooyinka, isaga oo u oggolaanaya ama xannibaya si waafaqsan xeerar rasmi ah. Waxba kama oga waxa ku jira baakadaha, sidaas darteedna ma aqoonsan karo ficillada sharci ee u muuqda ee weeraryahannada. Barnaamijyada ka-hortagga fayrasku had iyo jeer ma qabtaan malware-ka, sidaa darteed maamuluhu waxa uu wajahayaa hawsha la-socodka dhaqdhaqaaqyada aan caadiga ahayn iyo ka-hortagga wakhtiga ku-meel-gaadhka ah ee martida loo yahay.

Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

Waxaa jira qalabyo badan oo horumarsan oo la heli karo si loo ilaaliyo kaabayaasha IT-ga ee shirkadda. Maanta waxaan ka hadli doonaa hababka ogaanshaha iyo ka hortagga soo galitaanka il furan, kuwaas oo la hirgelin karo iyada oo aan la iibsan qalab qaali ah iyo shatiyada software.

Kala soocida IDS/IPS

IDS (Nidaamka ogaanshaha soo galitaanka) waa nidaam loogu talagalay in lagu diiwaan geliyo dhaqdhaqaaqyada laga shakiyo shabakada ama kombuyuutarka gaarka ah. Waxay xafidaysaa diiwaannada dhacdada waxayna ogaysiisaa shaqaalaha ka mas'uulka ah amniga macluumaadka iyaga ku saabsan. Waxyaabaha soo socda ayaa loo kala saari karaa iyada oo qayb ka ah IDS:

  • dareemayaasha loogu talagalay daawashada taraafikada shabakada, diiwaannada kala duwan, iwm. 
  • hab-hoosaadka falanqaynta oo tilmaamaya calaamadaha saamaynta xaasidnimo ee xogta la helay;
  • kaydinta ururinta dhacdooyinka asaasiga ah iyo natiijooyinka falanqaynta;
  • console maamulka.

Markii hore, IDS waxaa lagu sifeeyay goob ahaan: waxay diiradda saari karaan ilaalinta qanjidhada gaarka ah (marti-ku-salaysan ama Nidaamka Ogaanshaha Soo-gelinta Martigeliyaha - HIDS) ama ilaalinta dhammaan shabakadaha shirkadaha (isku-xidhka-ku-saleysan ama Nidaamka Soo-oggolaanshaha Shabakadda - NIDS). Waxaa mudan in la xuso waxa loogu yeero APIDS (Codsiga borotokoolka ku saleysan IDS): Waxay la socdaan nidaam xaddidan oo heer codsi ah si ay u aqoonsadaan weerarrada gaarka ah mana sameeyaan falanqayn qoto dheer oo ku saabsan xirmooyinka shabakadda. Badeecadaha noocan oo kale ah waxay inta badan shabahaan wakiillada waxaana loo isticmaalaa in lagu ilaaliyo adeegyo gaar ah: server-ka iyo codsiyada webka (tusaale, ku qoran PHP), server database, iwm. Tusaalaha caadiga ah ee fasalkan waa mod_security ee server-ka Apache.

Waxaan aad u xiisayneynaa NIDS caalamiga ah ee taageera borotokoolka isgaarsiineed oo ballaaran iyo teknoolojiyadda DPI (Inspection Packet Inspection). Waxay la socdaan dhammaan taraafikada gudbaya, laga bilaabo lakabka isku xirka xogta, waxayna ogaadaan tiro badan oo weerarro shabakadeed ah, iyo sidoo kale isku dayga helitaanka macluumaadka aan la oggolayn. Inta badan nidaamyada noocan oo kale ah waxay leeyihiin qaab-dhismeedka qaybsan waxayna la falgali karaan qalabka shabakadaha kala duwan ee firfircoon. Ogsoonow in NIDS casri ah oo badan ay yihiin kuwo isku dhafan oo ay isku daraan habab dhowr ah. Iyadoo ku xiran qaabeynta iyo dejinta, waxay xallin karaan dhibaatooyin kala duwan - tusaale ahaan, ilaalinta hal noode ama shabakadda oo dhan. Intaa waxaa dheer, hawlaha IDS ee goobaha shaqada waxaa la wareegay xirmo ka-hortagga fayraska, taas oo, sababtoo ah faafitaanka Trojans ee loogu talagalay in lagu xado macluumaadka, waxay u beddeleen firewalls multifunctional kuwaas oo sidoo kale xalliya dhibaatooyinka aqoonsiga iyo xannibaadda gaadiidka laga shakiyo.

Ugu horrayn, IDS waxa ay ogaan kartaa oo keliya hawlaha malware-ka, sawir-qaadayaasha dekedaha, ama, dheh, ku xad-gudbidda adeegsadaha siyaasadaha amniga shirkadda. Marka ay dhacdo gaar ah dhacdo, waxay ogeysiiyeen maamulaha, laakiin si dhakhso ah ayey u caddaatay in si fudud loo aqoonsado weerarku kuma filna - waxay u baahan tahay in la xannibo. Markaa IDS waxa loo beddelay IPS (Nidaamka Kahortagga Soo Galitaanka) - nidaamyada ka hortagga faragelinta ee awood u leh inay la falgalaan dab-damiska.

Hababka lagu ogaado

Helitaanka casriga casriga ah iyo xalalka ka-hortagga waxay isticmaalaan habab kala duwan si loo aqoonsado hawlaha xaasidnimada ah, kuwaas oo loo qaybin karo saddex qaybood. Tani waxay ina siinaysaa ikhtiyaar kale oo aan ku kala saarno nidaamyada:

  • Saxiixa ku salaysan IDS/IPS waxay ogaadaan qaababka taraafikada ama la socdaan isbeddelada xaaladda nidaamyada si loo go'aamiyo weerarka shabakada ama isku-dayga caabuqa. Dhab ahaantii ma bixiyaan rasaas-xumo iyo wanaag been abuur ah, laakiin ma awoodaan inay aqoonsadaan khataraha aan la garanayn;
  • IDS-yada si xun u ogaanaya ma isticmaalaan saxeexyada weerarka. Waxay aqoonsadaan hab-dhaqanka aan caadiga ahayn ee hababka macluumaadka (ay ku jiraan cilladaha ku jira taraafikada shabakada) waxayna xitaa ogaan karaan weerarrada aan la garanayn. Nidaamyada noocan oo kale ah waxay bixiyaan faa'iidooyin badan oo been abuur ah, haddii si khaldan loo isticmaalo, waxay curyaamiyaan hawlgalka shabakada maxaliga ah;
  • IDS-ku-sharciyeedku waxay ku shaqeeyaan mabda'a: haddii XAQIIQDA markaas FIL. Nuxur ahaan, kuwani waa nidaamyo khabiiro leh saldhigyo aqooneed - xaqiiqooyin iyo xeerar macquul ah oo macquul ah. Xalalka noocan oo kale ah waa kuwo xoog badan si loo dejiyo waxayna u baahan yihiin maamulaha inuu si faahfaahsan u fahmo shabakada. 

Taariikhda horumarinta IDS

Xilligii horumarka degdega ah ee internetka iyo shabakadaha shirkadaha ayaa bilaabmay 90-meeyadii qarnigii la soo dhaafay, laakiin khubarada ayaa la yaabay tignoolajiyada amniga shabakada ee horumarsan wax yar ka hor. Sannadkii 1986, Dorothy Denning iyo Peter Neumann ayaa daabacay IDES (nidaamka khabiirka ogaanshaha soo-galitaanka), kaas oo noqday saldhigga ugu badan ee hababka ogaanshaha casriga ah. Waxay isticmaashay nidaam khabiir ah si ay u aqoonsato noocyada weerarka ee la yaqaan, iyo sidoo kale hababka tirakoobka iyo astaanta isticmaalaha/nidaamka. IDES waxay ka socotay goobaha shaqada ee Sun, iyagoo baarayay taraafikada shabakada iyo xogta codsiga. Sannadkii 1993-kii, NIDES (Nidaamka Khabiirka Baadhitaanka Soo Galitaanka Jiilka Xiga) ayaa la sii daayay - hab cusub oo khabiiro ogaanshaha soo gelitaanka.

Iyada oo ku saleysan shaqada Denning iyo Neumann, MIDAS (Nidaamka ogaanshaha faragelinta badan iyo nidaamka feejignaanta) nidaamka khabiirada iyadoo la adeegsanayo P-BEST iyo LISP ayaa soo muuqday 1988. Isla mar ahaantaana, nidaamka Haystack ee ku salaysan hababka tirakoobka ayaa la abuuray. Baaraha kale ee tirakoobka anomaly, W&S (Xikmad & Dareen), ayaa sanad ka dib lagu sameeyay Shaybaadhka Qaranka ee Los Alamos. Warshaduhu waxay ku horumarayeen xawli xawli ah. Tusaale ahaan, 1990-kii, nidaamka TIM (Mashiinka wax-soo-saarka waqtiga-ku-saleysan) wuxuu horey u hirgeliyay ogaanshaha cillad-darrada iyadoo la adeegsanayo barashada wax-soo-saarka ee qaababka isticmaale ee isdaba-joogga ah (Luuqada LISP ee caadiga ah). NSM (La-socodka Amniga Shabakadda) ayaa is barbardhigtay jaangooyooyinka gelitaanka si loo ogaado cilladaha, iyo ISOA (Kaaliyaha Sarkaalka Amniga Macluumaadka) waxay taageertay xeelado kala duwan oo lagu ogaanayo: hababka tirakoobka, hubinta profile iyo nidaamka khabiirada. Nidaamka ComputerWatch ee laga sameeyay AT&T Bell Labs waxay adeegsadeen habab xisaabeed iyo xeerar si loo xaqiijiyo, iyo horumarinta Jaamacadda California waxay heleen noocii ugu horreeyay ee IDS-ka la qaybiyay sannadkii 1991 - DIDS (Nidaamka ogaanshaha Soo-gaadhista Qaybsan) sidoo kale wuxuu ahaa nidaam khabiir.

Markii hore, IDS waxay ahaayeen kuwo iska leh, laakiin horeba 1998, Shaybaadhka Qaranka. Lawrence Berkeley wuxuu sii daayay Bro (oo loo bixiyay Zeek 2018), nidaam il furan oo adeegsada luqadda qawaaniinta lahaanshaha ee falanqaynta xogta libpcap. Bishii Nofembar ee isla sannadkaas, baakidhkii APE ee wax uriya oo isticmaalaya libpcap ayaa soo muuqday, kaas oo bil ka dib loo beddelay Snort, oo markii dambe noqday IDS/IPS buuxa. Isla mar ahaantaana, xalal badan oo lahaanshaha ayaa bilaabay inay soo baxaan.

Snort iyo Suricata

Shirkado badan ayaa doorbida IDS/IPS il bilaash ah oo furan. Muddo dheer, Snort-ka hore loo sheegay ayaa loo tixgeliyey xalka caadiga ah, laakiin hadda waxaa lagu beddelay nidaamka Suricata. Aynu si faahfaahsan u eegno faa'iidooyinka iyo khasaaraha ay leeyihiin. Snort waxay isku daraysaa faa'iidooyinka habka ku salaysan saxeexa iyo awoodda lagu ogaanayo cilladaha wakhtiga dhabta ah. Suricata waxay sidoo kale kuu ogolaaneysaa inaad isticmaasho habab kale marka laga reebo aqoonsiga weerarrada saxiixa. Nidaamka waxaa sameeyay koox horumariyayaal ah oo ka soocay mashruuca Snort waxayna taageertaa hawlaha IPS ee ka bilaabmaya nooca 1.4, Snort waxay soo bandhigtay awoodda looga hortagayo faragelinta dambe.

Farqiga ugu weyn ee u dhexeeya labada badeecadood ee caanka ah waa awoodda Suricata ay u adeegsan karto xisaabinta GPU ee qaabka IDS, iyo sidoo kale IPS-ka aadka u horumarsan. Nidaamka ayaa markii hore loogu talagalay in lagu dhejiyo multi-threading, halka Snort waa badeecad hal-xadhig leh. Sababo la xiriira taariikhdeeda dheer iyo koodka dhaxalka ah, si wanaagsan uguma faa'iideysato aaladaha badan ee Processor/multicore hardware, halka Suricata ay xamili karto taraafikada ilaa 10 Gbps kombiyuutarada ujeeddooyinka guud ee caadiga ah. Waxaan ka hadli karnaa waqti dheer isku mid ahaanshaha iyo kala duwanaanshaha u dhexeeya labada nidaam, laakiin inkasta oo mishiinka Suricata uu si dhakhso ah u shaqeeyo, kanaalada aan aad u ballaaran tani maaha muhiimadda aasaasiga ah.

Fursadaha Dirista

IPS waa in loo dhigaa si nidaamku ula socon karo qaybaha shabakada ee ay maamusho. Inta badan, kani waa kombuyuutar gaar ah, mid ka mid ah interface kaas oo ku xiran qalabka geesaha ka dib oo "fiiriya" iyaga oo dhex maraya shabakadaha dadweynaha ee aan la ilaalin (internetka). Interface kale oo IPS ah ayaa ku xiran gelinta qaybta la ilaaliyo si dhammaan taraafikada ay u dhex maraan nidaamka oo loo falanqeeyo. Xaalado aad u adag, waxaa jiri kara dhowr qaybood oo la ilaaliyo: tusaale ahaan, shabakadaha shirkadaha, aagga militariga ka caaggan (DMZ) ayaa badanaa loo qoondeeyaa adeegyo laga heli karo internetka.

Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

IPS noocan oo kale ah waxay ka hortagi kartaa iskaanka dekedaha ama weerarada xoogga sirta ah, ka faa'iidaysiga dayacan ee server-ka boostada, server-ka ama qoraalada, iyo sidoo kale noocyada kale ee weerarada dibadda. Haddii kombuyuutarrada shabakada maxalliga ahi ay ku dhacaan malware, IDS uma oggolaan doono inay la xiriiraan server-yada botnet ee bannaanka ku yaal. Si loo ilaaliyo khatarta badan ee shabakada gudaha, qaabayn adag oo leh nidaam la qaybiyey iyo furayaasha la maareeyey ee qaaliga ah ee awooda in ay muraayad u dhigaan taraafikada IDS interface ee ku xidhan mid ka mid ah dekedaha waxay u badan tahay in loo baahdo.

Shabakadaha shirkadu waxay inta badan ku xiran yihiin diidmada adeegga (DDoS) werarada. Inkasta oo IDS-ka casriga ahi uu wax ka qaban karo iyaga, haddana ikhtiyaarka geynta sare uma badna inuu halkan ku caawiyo. Nidaamku wuxuu aqoonsan doonaa dhaqdhaqaaqa xaasidnimada ah wuxuuna xannibi doonaa taraafikada beenta ah, laakiin si tan loo sameeyo, xirmooyinka waa inay dhex maraan isku xirka internetka dibadda oo ay gaaraan shabakadeeda isku xirka. Iyadoo ku xiran xoojinta weerarka, kanaalka gudbinta xogta ayaa laga yaabaa inuu awoodi waayo inuu la qabsado culeyska iyo hadafka weeraryahannada waa la gaari doonaa. Xaaladahan oo kale, waxaan kugula talineynaa in la geeyo IDS server-ka farsamada leh oo leh xiriir internet oo ka awood badan. Waxaad ku xidhi kartaa VPS shabakada maxalliga ah adoo adeegsanaya VPN, ka dibna waxaad u baahan doontaa inaad dejiso habaynta dhammaan taraafikada dibadda iyada oo loo marayo. Kadib, haddii ay dhacdo weerar DDoS ah, uma baahnid inaad soo dirto baakadaha xiriirka bixiyaha; waxaa lagu xannibi doonaa qanjirka dibadda.

Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

Dhibaatada doorashada

Aad bay u adagtahay in la aqoonsado hogaamiye ka mid ah nidaamyada xorta ah. Doorashada IDS/IPS waxaa lagu go'aamiyaa shabakada topology-ga, hawlaha amniga ee loo baahan yahay, iyo sidoo kale dookhyada shakhsi ahaaneed ee maamulaha iyo rabitaankiisa ah inuu la socdo goobaha. Snort waxay leedahay taariikh dheer oo si wanaagsan ayaa loo diiwaangeliyay, inkastoo macluumaadka Suricata ay sidoo kale fududahay in laga helo khadka. Si kastaba ha ahaatee, si aad u barato nidaamka waxaad u baahan doontaa inaad sameyso xoogaa dadaal ah, taas oo ugu dambeyntii bixi doonta - hardware-ganacsiga iyo hardware-software IDS/IPS waa qaali oo mar walba kuma habboona miisaaniyadda. Ma jirto wax macno ah in laga qoomameeyo wakhtiga lumay, sababtoo ah maamulaha wanaagsan ayaa had iyo jeer horumariya xirfadihiisa kharashka shaqada. Xaaladdan oo kale, qof kastaa wuu guuleystaa. Maqaalka soo socda waxaan ku eegi doonaa qaar ka mid ah fursadaha keenista Suricata waxaanan barbardhigi doonaa nidaam aad casri u ah IDS/IPS Snort-ga caadiga ah.

Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

Snort ama Suricata. Qaybta 1: Doorashada IDS/IPS bilaasha ah si loo ilaaliyo Shabakadda Ganacsigaaga

Source: www.habr.com

Add a comment