Dikur, një firewall i zakonshëm dhe programe antivirus mjaftonin për të mbrojtur një rrjet lokal, por një grup i tillë nuk është më efektiv kundër sulmeve të hakerëve modernë dhe malware që është përhapur kohët e fundit. Një mur i mirë i vjetër i zjarrit analizon vetëm kokat e paketave, duke i lejuar ose bllokuar ato sipas një sërë rregullash formale. Ai nuk di asgjë për përmbajtjen e paketave, dhe për këtë arsye nuk mund të njohë veprimet në dukje të ligjshme të sulmuesve. Programet antivirus jo gjithmonë kapin malware, kështu që administratori përballet me detyrën e monitorimit të aktivitetit jonormal dhe izolimit në kohë të hosteve të infektuar.
Ka shumë mjete të avancuara në dispozicion për të mbrojtur infrastrukturën e IT të një kompanie. Sot do të flasim për sistemet e zbulimit dhe parandalimit të ndërhyrjeve me burim të hapur, të cilat mund të zbatohen pa blerë pajisje të shtrenjta dhe licenca softuerësh.
Klasifikimi IDS/IPS
IDS (Intrusion Detection System) është një sistem i krijuar për të regjistruar aktivitete të dyshimta në një rrjet ose në një kompjuter individual. Ai mban regjistrat e ngjarjeve dhe njofton punonjësin përgjegjës për sigurinë e informacionit rreth tyre. Elementët e mëposhtëm mund të dallohen si pjesë e IDS:
- sensorë për shikimin e trafikut të rrjetit, regjistrat e ndryshëm etj.
- një nënsistem analize që identifikon shenjat e ndikimit keqdashës në të dhënat e marra;
- ruajtje për akumulimin e ngjarjeve primare dhe rezultateve të analizës;
- tastiera e menaxhimit.
Fillimisht, IDS u klasifikuan sipas vendndodhjes: ato mund të përqendroheshin në mbrojtjen e nyjeve individuale (Host-based ose Host Intrusion Detection System - HIDS) ose mbrojtjen e të gjithë rrjetit të korporatës (i bazuar në rrjet ose Network Intrusion Detection System - NIDS). Vlen të përmendet i ashtuquajturi APIDS (IDS i bazuar në protokollin e aplikacionit): Ata monitorojnë një grup të kufizuar protokollesh të nivelit të aplikacionit për të identifikuar sulme specifike dhe nuk bëjnë analiza të thella të paketave të rrjetit. Produkte të tilla zakonisht ngjajnë me proxies dhe përdoren për të mbrojtur shërbime specifike: një server në internet dhe aplikacione në internet (për shembull, të shkruara në PHP), një server të bazës së të dhënave, etj. Një shembull tipik i kësaj klase është mod_security për serverin në internet Apache.
Ne jemi më të interesuar për NIDS universale që mbështesin një gamë të gjerë të protokolleve të komunikimit dhe teknologjive DPI (Deep Packet Inspection). Ata monitorojnë të gjithë trafikun kalimtar, duke filluar nga shtresa e lidhjes së të dhënave dhe zbulojnë një gamë të gjerë sulmesh në rrjet, si dhe përpjekje për qasje të paautorizuar në informacion. Shpesh sisteme të tilla kanë një arkitekturë të shpërndarë dhe mund të ndërveprojnë me pajisje të ndryshme aktive të rrjetit. Vini re se shumë NIDS moderne janë hibride dhe kombinojnë disa qasje. Në varësi të konfigurimit dhe cilësimeve, ato mund të zgjidhin probleme të ndryshme - për shembull, duke mbrojtur një nyje ose të gjithë rrjetin. Për më tepër, funksionet e IDS për stacionet e punës u morën nga paketat antivirus, të cilat, për shkak të përhapjes së trojanëve që synonin vjedhjen e informacionit, u kthyen në mure zjarri multifunksionale që zgjidhin edhe problemet e njohjes dhe bllokimit të trafikut të dyshimtë.
Fillimisht, IDS mund të zbulonte vetëm aktivitetin e malware, skanerët e porteve ose, të themi, shkeljet e përdoruesve të politikave të sigurisë së korporatës. Kur ndodhi një ngjarje e caktuar, ata njoftuan administratorin, por shpejt u bë e qartë se thjesht njohja e sulmit nuk ishte e mjaftueshme - duhej bllokuar. Kështu IDS u transformuan në IPS (Intrusion Prevention Systems) - sisteme të parandalimit të ndërhyrjeve të afta për të bashkëvepruar me muret e zjarrit.
Metodat e zbulimit
Zgjidhjet moderne të zbulimit dhe parandalimit të ndërhyrjeve përdorin një sërë metodash për të identifikuar aktivitetin keqdashës, të cilat mund të ndahen në tre kategori. Kjo na jep një mundësi tjetër për klasifikimin e sistemeve:
- IDS/IPS i bazuar në nënshkrime zbulon modele në trafik ose monitoron ndryshimet në gjendjen e sistemeve për të përcaktuar një sulm në rrjet ose përpjekje për infeksion. Ata praktikisht nuk japin gabime dhe rezultate false, por nuk janë në gjendje të identifikojnë kërcënime të panjohura;
- IDS-të që zbulojnë anomali nuk përdorin nënshkrime sulmi. Ata njohin sjelljen jonormale të sistemeve të informacionit (përfshirë anomalitë në trafikun e rrjetit) dhe madje mund të zbulojnë sulme të panjohura. Sisteme të tilla japin mjaft rezultate false dhe, nëse përdoren gabimisht, paralizojnë funksionimin e rrjetit lokal;
- IDS-të e bazuara në rregulla punojnë në parimin: nëse FAKT atëherë VEPRIM. Në thelb, këto janë sisteme ekspertësh me baza njohurish - një grup faktesh dhe rregullash të përfundimit logjik. Zgjidhje të tilla kërkojnë punë intensive për t'u vendosur dhe kërkojnë që administratori të ketë një kuptim të hollësishëm të rrjetit.
Historia e zhvillimit të IDS
Epoka e zhvillimit të shpejtë të internetit dhe rrjeteve të korporatave filloi në vitet '90 të shekullit të kaluar, por ekspertët ishin në mëdyshje nga teknologjitë e avancuara të sigurisë së rrjetit pak më herët. Në vitin 1986, Dorothy Denning dhe Peter Neumann publikuan modelin IDES (Sistemi ekspert i zbulimit të ndërhyrjes), i cili u bë baza e sistemeve më moderne të zbulimit të ndërhyrjeve. Ai përdori një sistem ekspert për të identifikuar llojet e njohura të sulmeve, si dhe metodat statistikore dhe profilet e përdoruesve/sistemit. IDES funksiononte në stacionet e punës Sun, duke inspektuar trafikun e rrjetit dhe të dhënat e aplikacioneve. Në vitin 1993, NIDES (Sistemi ekspert i zbulimit të ndërhyrjeve të gjeneratës së ardhshme) u lëshua - një sistem ekspert i gjeneratës së re të zbulimit të ndërhyrjeve.
Bazuar në punën e Denning dhe Neumann, sistemi ekspert MIDAS (Multics Intrusion Detection and Alerting system) duke përdorur P-BEST dhe LISP u shfaq në 1988. Në të njëjtën kohë, u krijua sistemi Haystack i bazuar në metoda statistikore. Një tjetër detektor i anomalive statistikore, W&S (Wisdom & Sense), u zhvillua një vit më vonë në Laboratorin Kombëtar të Los Alamos. Industria po zhvillohej me ritme të shpejta. Për shembull, në vitin 1990, sistemi TIM (Makina induktive e bazuar në kohë) tashmë ka zbatuar zbulimin e anomalive duke përdorur mësimin induktiv në modelet e përdoruesve sekuencialë (gjuha e zakonshme LISP). NSM (Network Security Monitor) krahasoi matricat e aksesit për të zbuluar anomalitë dhe ISOA (Information Security Officer's Assistant) mbështeti strategji të ndryshme zbulimi: metoda statistikore, kontroll të profilit dhe sistem ekspert. Sistemi ComputerWatch i krijuar në AT&T Bell Labs përdori metoda dhe rregulla statistikore për verifikim, dhe zhvilluesit e Universitetit të Kalifornisë morën prototipin e parë të një IDS të shpërndarë në vitin 1991 - DIDS (Distributed Intrusion Detection System) ishte gjithashtu një sistem ekspert.
Në fillim IDS ishte pronësi, por tashmë në vitin 1998 Laboratori Kombëtar. Lawrence Berkeley lëshoi Bro (i riemërtuar Zeek në 2018), një sistem me burim të hapur që përdor një gjuhë rregullash të pronarit për analizimin e të dhënave libpcap. Në nëntor të të njëjtit vit, u shfaq sniffer i paketave APE duke përdorur libpcap, i cili një muaj më vonë u riemërua Snort, dhe më vonë u bë një IDS/IPS e plotë. Në të njëjtën kohë, filluan të shfaqen zgjidhje të shumta të pronarit.
Snort dhe Suricata
Shumë kompani preferojnë IDS/IPS falas dhe me burim të hapur. Për një kohë të gjatë, Snort i përmendur tashmë konsiderohej zgjidhja standarde, por tani ajo është zëvendësuar nga sistemi Suricata. Le të shohim avantazhet dhe disavantazhet e tyre në pak më shumë detaje. Snort kombinon përfitimet e një metode të bazuar në nënshkrime me aftësinë për të zbuluar anomalitë në kohë reale. Suricata gjithashtu ju lejon të përdorni metoda të tjera përveç njohjes së sulmeve me nënshkrime. Sistemi u krijua nga një grup zhvilluesish të ndarë nga projekti Snort dhe mbështet funksionet IPS duke filluar nga versioni 1.4, dhe Snort prezantoi aftësinë për të parandaluar ndërhyrjet më vonë.
Dallimi kryesor midis dy produkteve të njohura është aftësia e Suricata për të përdorur llogaritjen GPU në modalitetin IDS, si dhe IPS më të avancuar. Sistemi është projektuar fillimisht për multi-fije, ndërsa Snort është një produkt me një filetim të vetëm. Për shkak të historisë së tij të gjatë dhe kodit të trashëguar, ai nuk përdor në mënyrë optimale platformat harduerike me shumë procesorë/shumë bërthama, ndërsa Suricata mund të trajtojë trafikun deri në 10 Gbps në kompjuterë të zakonshëm me qëllime të përgjithshme. Mund të flasim për një kohë të gjatë për ngjashmëritë dhe ndryshimet midis dy sistemeve, por megjithëse motori Suricata funksionon më shpejt, për kanale jo shumë të gjera kjo nuk ka rëndësi thelbësore.
Opsionet e vendosjes
IPS duhet të vendoset në atë mënyrë që sistemi të mund të monitorojë segmentet e rrjetit nën kontrollin e tij. Më shpesh, ky është një kompjuter i dedikuar, një ndërfaqe e të cilit lidhet pas pajisjeve të skajit dhe "shikon" përmes tyre në rrjete publike të pambrojtura (Interneti). Një ndërfaqe tjetër IPS është e lidhur me hyrjen e segmentit të mbrojtur në mënyrë që i gjithë trafiku të kalojë përmes sistemit dhe të analizohet. Në raste më komplekse, mund të ketë disa segmente të mbrojtura: për shembull, në rrjetet e korporatave një zonë e çmilitarizuar (DMZ) shpesh ndahet me shërbime të aksesueshme nga interneti.
Një IPS i tillë mund të parandalojë skanimin e portit ose sulmet me forcë brutale të fjalëkalimit, shfrytëzimin e dobësive në serverin e postës, serverin në internet ose skriptet, si dhe lloje të tjera sulmesh të jashtme. Nëse kompjuterët në rrjetin lokal janë të infektuar me malware, IDS nuk do t'i lejojë ata të kontaktojnë serverët botnet që ndodhen jashtë. Për një mbrojtje më serioze të rrjetit të brendshëm, ka shumë të ngjarë të kërkohet një konfigurim kompleks me një sistem të shpërndarë dhe çelësa të shtrenjtë të menaxhuar të aftë për të pasqyruar trafikun për ndërfaqen IDS të lidhur me një nga portet.
Rrjetet e korporatave shpesh janë subjekt i sulmeve të mohimit të shërbimit të shpërndarë (DDoS). Megjithëse IDS moderne mund të merret me to, opsioni i mësipërm i vendosjes nuk ka gjasa të ndihmojë këtu. Sistemi do të njohë aktivitetin keqdashës dhe do të bllokojë trafikun e rremë, por për ta bërë këtë, paketat duhet të kalojnë përmes një lidhjeje të jashtme interneti dhe të arrijnë ndërfaqen e tij të rrjetit. Në varësi të intensitetit të sulmit, kanali i transmetimit të të dhënave mund të mos jetë në gjendje të përballojë ngarkesën dhe qëllimi i sulmuesit do të arrihet. Për raste të tilla, ne rekomandojmë vendosjen e IDS në një server virtual me një lidhje dukshëm më të fuqishme në internet. Ju mund ta lidhni VPS-në me rrjetin lokal përmes një VPN dhe më pas do t'ju duhet të konfiguroni rrugëzimin e të gjithë trafikut të jashtëm përmes tij. Pastaj, në rast të një sulmi DDoS, nuk do t'ju duhet të dërgoni pako përmes lidhjes te ofruesi; ato do të bllokohen në nyjen e jashtme.
Problemi i zgjedhjes
Është shumë e vështirë të identifikosh një lider midis sistemeve të lira. Zgjedhja e IDS/IPS përcaktohet nga topologjia e rrjetit, funksionet e kërkuara të sigurisë, si dhe nga preferencat personale të administratorit dhe dëshira e tij për të ndërhyrë me cilësimet. Snort ka një histori më të gjatë dhe është më mirë i dokumentuar, megjithëse informacioni mbi Suricata është gjithashtu i lehtë për t'u gjetur në internet. Në çdo rast, për të zotëruar sistemin do t'ju duhet të bëni disa përpjekje, të cilat përfundimisht do të shpërblehen - hardueri komercial dhe harduer-softueri IDS/IPS janë mjaft të shtrenjta dhe nuk përshtaten gjithmonë në buxhet. Nuk ka kuptim të pendohesh për kohën e humbur, sepse një administrator i mirë gjithmonë përmirëson aftësitë e tij në kurriz të punëdhënësit. Në këtë situatë, të gjithë fitojnë. Në artikullin vijues do të shikojmë disa opsione të vendosjes së Suricata dhe do të krahasojmë një sistem më modern me IDS/IPS Snort klasik në praktikë.
Burimi: www.habr.com