Ka nako e 'ngoe, mananeo a tloaelehileng a li-firewall le anti-virus a ne a lekane ho sireletsa marang-rang a sebaka seo, empa sete e joalo ha e sa sebetsa ka ho lekaneng khahlanong le litlhaselo tsa linokoane tsa morao-rao le malware tse sa tsoa ata. Li-firewall tse ntle tsa khale li hlahloba lihlooho tsa liphutheloana feela, ho li fetisa kapa ho li thibela ho latela melao e hlophisitsoeng. Ha e tsebe letho ka se ka har'a liphutheloana, 'me ka hona e ke ke ea lemoha liketso tsa ka ntle tse amohelehang tsa bahlaseli. Mananeo a khahlanong le kokoana-hloko ha a lule a tšoara malware, ka hona, mookameli o tobane le mosebetsi oa ho lekola ts'ebetso e sa tloaelehang le ho arola batho ba nang le tšoaetso ka nako e nepahetseng.
Ho na le lisebelisoa tse ngata tse tsoetseng pele tse u lumellang ho sireletsa lisebelisoa tsa IT tsa k'hamphani. Kajeno re tla bua ka mekhoa e bulehileng ea ho lemoha le ho thibela ho kena mohloling o ka sebelisoang ntle le ho reka thepa e theko e boima le laesense ea software.
Sehlopha sa IDS/IPS
IDS (Intrusion Detection System) ke sistimi e etselitsoeng ho ngodisa mesebetsi e belaetsang marangrang kapa komporong e ka thoko. E boloka lintlha tsa liketsahalo le ho tsebisa motho ea ikarabellang bakeng sa ts'ireletso ea tlhahisoleseding ka tsona. IDS e kenyelletsa lintlha tse latelang:
- li-sensor tsa ho shebella sephethephethe sa marang-rang, li-log tse fapaneng, jj.
- subsystem ea tlhahlobo e fumanang matšoao a litlamorao tse kotsi ho data e amoheloang;
- polokelo bakeng sa ho bokella liketsahalo tsa mantlha le liphetho tsa tlhahlobo;
- tsamaiso ea tsamaiso.
Qalong, li-IDS li ne li arotsoe ka sebaka: li ne li ka tsepamisa maikutlo ho sireletsa li-node tsa motho ka mong (host-based kapa Host Intrusion Detection System - HIDS) kapa ho sireletsa marang-rang a mekhatlo (network-based kapa Network Intrusion Detection System - NIDS). Ke habohlokoa ho bua ka seo ho thoeng ke. APIDS (IDS e thehiloeng ho Application Protocol): ba beha leihlo sete e lekanyelitsoeng ea liprothokholo tsa layer layer ho bona litlhaselo tse itseng mme ha ba hlahlobe lipakete tsa marang-rang ka botebo. Hangata lihlahisoa tse joalo li tšoana le li-proxies 'me li sebelisetsoa ho sireletsa litšebeletso tse khethehileng: seva sa websaete le lisebelisoa tsa marang-rang (mohlala, tse ngotsoeng ka PHP), li-server tsa database, joalo-joalo. Moemeli ea tloaelehileng oa sehlopha sena ke mod_security bakeng sa seva sa marang-rang sa Apache.
Re thahasella haholo NIDS ea bokahohleng e tšehetsang mefuta e mengata ea liprothokholo tsa puisano le mahlale a tlhahlobo ea lipakete tsa DPI (Deep Packet Inspection). Ba shebella sephethephethe sohle se fetang, ho qala ka lera la khokahanyo ea data, 'me ba lemoha mefuta e mengata ea litlhaselo tsa marang-rang, hammoho le ho fumana boitsebiso bo sa lumelloeng. Hangata litsamaiso tse joalo li na le meaho e ajoang mme li ka sebelisana le lisebelisoa tse fapaneng tsa marang-rang tse sebetsang. Hlokomela hore li-NIDS tse ngata tsa sejoale-joale li kopane 'me li kopanya mekhoa e mengata. Ho ipapisitsoe le tlhophiso le litlhophiso, li ka rarolla mathata a fapaneng - mohlala, ho sireletsa node e le 'ngoe kapa marang-rang kaofela. Ntle le moo, mesebetsi ea IDS bakeng sa li-workstations e ile ea nkuoa ke liphutheloana tse thibelang kokoana-hloko, tseo, ka lebaka la ho ata ha Trojans tse reretsoeng ho utsoa tlhahisoleseling, li fetohile li-firewall tse sebetsang tse rarollang mesebetsi ea ho lemoha le ho thibela sephethephethe se belaetsang.
Qalong, IDS e ne e khona ho bona feela ts'ebetso ea malware, li-port scanner, kapa, ho re, litlolo tsa basebelisi ba maano a ts'ireletso ea khoebo. Ha ketsahalo e itseng e etsahala, ba ile ba tsebisa mookameli, empa ka potlako ho ile ha hlaka hore ho lemoha tlhaselo feela ho ne ho sa lekana - ho ne ho hlokahala hore ho thijoe. Kahoo IDS e ile ea fetoha IPS (Intrusion Prevention Systems) - mekhoa ea thibelo ea ho kena-kenana e ka sebelisanang le li-firewall.
Mekhoa ea ho lemoha
Mekhoa ea morao-rao ea ho lemoha le ho thibela mekhoa ea ho thibela ho kena-kenana e sebelisa mekhoa e sa tšoaneng ho lemoha liketso tse lonya, tse ka aroloa ka mekhahlelo e meraro. Sena se re fa khetho e 'ngoe ea ho hlophisa litsamaiso:
- IDS/IPS e thehiloeng ho signature e batla mekhoa ea sephethephethe kapa ho beha leihlo liphetoho tsa boemo ba sistimi ho bona tlhaselo ea marang-rang kapa teko ea tšoaetso. Ha e le hantle ha ba fane ka maikutlo a fosahetseng le a fosahetseng, empa ha ba khone ho tseba litšokelo tse sa tsejoeng;
- Li-IDS tsa ho lemoha lintho tse sa tloaelehang ha li sebelise li-signature tsa tlhaselo. Ba lemoha boits'oaro bo sa tloaelehang ba lits'ebetso tsa tlhahisoleseling (ho kenyeletsoa le liphoso tsa sephethephethe sa marang-rang) mme ba khona ho lemoha litlhaselo tse sa tsejoeng. Litsamaiso tse joalo li fana ka lintlha tse ngata tsa bohata, 'me, haeba li sebelisoa hampe, li sitisa ts'ebetso ea marang-rang a lehae;
- Li-IDS tse thehiloeng ho melao li sebetsa joalo ka: haeba FACT ebe ke KETSO. Ha e le hantle, tsena ke litsamaiso tsa litsebi tse nang le metheo ea tsebo - sehlopha sa lintlha le melao ea boitsebiso. Litharollo tse joalo li ja nako ea ho theha le ho hloka hore mookameli a be le kutloisiso e qaqileng ea marang-rang.
Nalane ea nts'etsopele ea IDS
Nako ea tsoelo-pele e potlakileng ea Marang-rang le marang-rang a khoebo e qalile lilemong tsa bo-90 tsa lekholong la ho qetela la lilemo, leha ho le joalo, litsebi li ile tsa makatsoa ke theknoloji e tsoetseng pele ea ts'ireletso ea marang-rang pejana. Ka 1986, Dorothy Denning le Peter Neumann ba ile ba hatisa mohlala oa IDES (Intrusion discovery system), e ileng ea fetoha motheo oa mekhoa ea morao-rao ea ho lemoha ho kenella. O sebelisitse mokhoa oa litsebi ho tsebahatsa litlhaselo tse tsejoang, hammoho le mekhoa ea lipalo-palo le litlaleho tsa basebelisi / tsamaiso. IDES e ne e sebetsa litsing tsa mosebetsi tsa Letsatsi, e lekola sephethephethe sa marang-rang le data ea ts'ebeliso. Ka 1993, NIDES (Moloko o latelang oa Setsebi sa ho Hlahlobisisa Setsebi) e ile ea lokolloa - mokhoa o mocha oa litsebi tsa ho lemoha ho kena-kenana.
Ho itšetlehile ka mosebetsi oa Denning le Neumann, tsamaiso ea litsebi tsa MIDAS (Multics intrusion discover and alerting system) e hlahile ka 1988, e sebelisa P-BEST le LISP. Ka nako e ts'oanang, tsamaiso ea Haystack e thehiloeng ho mekhoa ea lipalo-palo e ile ea bōptjoa. Mohloli o mong oa lipalo-palo, W&S (Wisdom & Sense), o ile oa ntlafatsoa selemo hamorao Los Alamos National Laboratory. Tsoelopele ea indasteri e ile ea tsoela pele ka lebelo le potlakileng. Ka mohlala, ka 1990, ho lemoha ka mokhoa o sa tsitsang ho ne ho se ho kentsoe tšebetsong ea TIM (Time-based inductive machine) ho sebelisoa ho ithuta ka mokhoa o hlakileng ho latela mekhoa ea mosebedisi (puo e tloaelehileng ea LISP). NSM (Network Security Monitor) e ne e bapisa matrices a phihlello bakeng sa ho lemoha phoso, 'me ISOA (Information Security Officer's Assistant) e ile ea tšehetsa mekhoa e fapaneng ea ho lemoha: mekhoa ea lipalo, ho hlahloba boemo le tsamaiso ea litsebi. Sistimi ea ComputerWatch e entsoeng ho AT & T Bell Labs e sebelisitse mekhoa le melao ea lipalo ka bobeli bakeng sa netefatso, mme baetsi ba Univesithi ea California ba ile ba amohela mohlala oa pele oa IDS e abuoang morao koana ka 1991 - DIDS (Sistimi e sibolloang ea ho lemoha ho kenella) le eona e ne e le setsebi. tsamaiso.
Qalong, IDS e ne e le mong'a ntlo, empa e se e le ka 1998, Laboratori ea Sechaba. Lawrence oa Berkeley o lokolitse Bro (ea rehiloeng hape Zeek ka 2018), sistimi e bulehileng e sebelisang puo ea eona ea melao bakeng sa ho hlophisa data ea libpcap. Ka November selemong sona seo, ho ile ha hlaha pakete ea APE e sebelisang libpcap, eo khoeli hamorao e ileng ea rehoa Snort, 'me hamorao ea fetoha IDS / IPS e feletseng. Ka nako e ts'oanang, litharollo tse ngata tsa thepa li ile tsa qala ho hlaha.
Snort le Suricata
Likhamphani tse ngata li khetha mohloli oa mahala le o bulehileng oa IDS/IPS. Ka nako e telele, Snort e seng e boletsoe e ne e nkoa e le tharollo e tloaelehileng, empa joale e nkeloe sebaka ke tsamaiso ea Suricata. Nahana ka melemo le mathata a bona ka ho qaqileng haholoanyane. Snort e kopanya melemo ea mokhoa oa ho saena le ho lemoha ka nako ea nnete e sa hlakang. Suricata e boetse e lumella mekhoa e meng ntle le ho lemoha ha li-signature tsa tlhaselo. Sistimi e entsoe ke sehlopha sa bahlahisi ba arohaneng le projeke ea Snort mme ba ts'ehetsa likarolo tsa IPS ho tloha mofuta oa 1.4, ha thibelo ea ho kenella e hlaha ho Snort hamorao.
Phapang e kholo lipakeng tsa lihlahisoa tse peli tse tsebahalang ke bokhoni ba Suricata ba ho sebelisa GPU bakeng sa komporo ea IDS, hammoho le IPS e tsoetseng pele haholo. Sistimi ena qalong e ne e etselitsoe likhoele tse ngata, athe Snort ke sehlahisoa se nang le khoele e le 'ngoe. Ka lebaka la nalane ea eona e telele le khoutu ea lefa, ha e sebelise ka nepo li-platform tsa li-multi-processor / multi-core hardware, ha Suricata e khona ho sebetsana le sephethephethe ho fihlela ho 10 Gbps ho likhomphutha tse tloaelehileng tse tloaelehileng. U ka bua ka ho tšoana le ho se tšoane pakeng tsa litsamaiso tse peli ka nako e telele, empa le hoja enjene ea Suricata e sebetsa ka potlako, hobane ha ho na liteishene tse pharaletseng haholo, ha ho tsotellehe.
Dikgetho tsa ho romela
IPS e tlameha ho behoa ka tsela eo tsamaiso e ka shebellang likarolo tsa marang-rang tlas'a taolo ea eona. Hangata, ena ke k'homphieutha e inehetseng, e leng sebopeho se le seng se kopanyang ka mor'a lisebelisoa tse bohale 'me se "sheba" ho tsona ho marang-rang a sechaba a sa sireletsehang (Internet). Khokahano e 'ngoe ea IPS e hokahane le kenyelletso ea karolo e sirelelitsoeng e le hore sephethephethe sohle se fete ka har'a sistimi mme se hlahlojoe. Maemong a thata haholoanyane, ho ka 'na ha e-ba le likarolo tse' maloa tse sirelelitsoeng: ka mohlala, ho marang-rang a mekhatlo, sebaka sa demilitarized zone (DMZ) hangata se abeloa litšebeletso tse fumanehang Inthaneteng.
IPS e joalo e ka thibela ho hlahlojoa ha port kapa litlhaselo tse matla, tšebeliso ea bofokoli ho seva sa poso, seva sa webo kapa mangolo, hammoho le mefuta e meng ea litlhaselo tsa kantle. Haeba likhomphutha tsa marang-rang tsa lehae li tšoaelitsoe ke malware, IDS e ke ke ea ba lumella ho ikopanya le li-server tsa botnet tse ka ntle. Tšireletso e tebileng haholoanyane ea marang-rang a ka hare ho ka etsahala hore e hloke tlhophiso e rarahaneng e nang le sistimi e ajoang le li-switches tse laoloang tse theko e phahameng tse khonang ho bona sephethephethe bakeng sa sebopeho sa IDS se hoketsoeng ho e 'ngoe ea likou.
Hangata marang-rang a khoebo a tlas'a tlhaselo ea distributed denial-of-service (DDoS). Leha li-IDS tsa sejoale-joale li ka sebetsana le tsona, khetho ea phepelo e kaholimo ha e na thuso e nyane mona. Sistimi e lemoha ts'ebetso e mpe mme e thibela sephethe-phethe se fosahetseng, empa bakeng sa sena, lipakete li tlameha ho feta khokahanong ea kantle ea Marang-rang ebe li fihlella marang-rang a eona. Ho itšetlehile ka matla a tlhaselo, mocha oa phetisetso ea data o ka 'na oa se ke oa khona ho sebetsana ka katleho le mojaro' me sepheo sa bahlaseli se tla finyelloa. Bakeng sa maemo a joalo, re khothaletsa ho sebelisa IDS ho seva e nang le khokahanyo e ntle ea Marang-rang. U ka hokahanya VPS ho marang-rang a sebaka ka VPN, 'me joale u tla hloka ho lokisa mokhoa oa ho tsamaisa sephethephethe sa kantle ho eona. Joale, ha ho e-na le tlhaselo ea DDoS, u ke ke ua tlameha ho khanna lipakete ka ho hokahanya le mofani, li tla thibeloa ho moeti oa kantle.
Bothata ba khetho
Ho thata haholo ho khetholla moetapele har'a litsamaiso tsa mahala. Khetho ea IDS / IPS e khethoa ke topology ea marang-rang, likarolo tse hlokahalang tsa ts'ireletso, hammoho le likhetho tsa botho tsa mookameli le takatso ea hae ea ho ikamahanya le litlhophiso. Snort e na le nalane e telele ebile e ngotsoe hamolemo, leha tlhaiso-leseling e mabapi le Suricata le eona e fumaneha habonolo inthaneteng. Leha ho le joalo, ho tseba tsamaiso, o tla tlameha ho etsa boiteko bo itseng, bo tla qetella bo lefa - hardware ea khoebo le hardware-software IDS / IPS li theko e boima haholo 'me ha li lule li lekana le tekanyetso. Ha ua lokela ho ikoahlaela nako eo ue sebelisitseng, hobane molaoli ea molemo o lula a ntlafatsa litšoaneleho tsa hae ka litšenyehelo tsa mohiri. Boemong bona, bohle baa hlola. Sehloohong se latelang, re tla sheba likhetho tse ling tsa ho tsamaisa Suricata le ho bapisa sistimi ea sejoale-joale le Snort ea khale ea IDS/IPS e sebetsang.
Source: www.habr.com