Baheula, firewall biasa sareng program anti-virus cekap pikeun ngajagi jaringan lokal, tapi set sapertos kitu henteu cekap efektif ngalawan serangan peretas modern sareng malware anu nembé nyebar. The firewall heubeul alus nganalisa ngan headers pakét, ngalirkeun atanapi blocking aranjeunna luyu jeung susunan aturan formal. Éta henteu terang naon-naon ngeunaan eusi bungkusan, sareng ku kituna henteu tiasa mikawanoh lampah anu sah sacara lahiriah tina intruders. Program anti-virus henteu salawasna nyekel malware, ku kituna administrator disanghareupan tugas ngawas kagiatan anomali sareng ngasingkeun host anu katépaan dina waktosna.
Aya seueur alat canggih anu ngamungkinkeun anjeun ngajagi infrastruktur IT perusahaan. Dinten ieu kami bakal ngobrol ngeunaan deteksi intrusion open source sareng sistem pencegahan anu tiasa dilaksanakeun tanpa mésér lisénsi hardware sareng software anu mahal.
Klasifikasi IDS/IPS
IDS (Intrusion Detection System) mangrupikeun sistem anu dirancang pikeun ngadaptar kagiatan anu curiga dina jaringan atanapi dina komputer anu misah. Éta ngajaga log acara sareng ngabéjaan jalma anu tanggung jawab pikeun kaamanan inpormasi ngeunaan éta. IDS ngawengku elemen handap:
- sensor pikeun nempo lalulintas jaringan, rupa log, jsb.
- subsistem analisis anu ngadeteksi tanda-tanda épék ngabahayakeun dina data anu ditampi;
- gudang pikeun akumulasi acara primér sarta hasil analisis;
- konsol manajemén.
Awalna, IDS digolongkeun dumasar lokasi: aranjeunna tiasa difokuskeun ngajaga titik individu (host-based atanapi Host Intrusion Detection System - HIDS) atanapi ngajagi sadayana jaringan perusahaan (basis jaringan atanapi Network Intrusion Detection System - NIDS). Eta sia mentioning nu disebut. APIDS (Aplikasi protokol basis IDS): aranjeunna ngawas susunan kawates protokol lapisan aplikasi pikeun ngadeteksi serangan husus sarta henteu jero nganalisis pakét jaringan. Produk sapertos biasana nyarupaan proxy sareng dianggo pikeun ngajagi jasa khusus: pangladén wéb sareng aplikasi wéb (contona, ditulis dina PHP), pangladén database, jsb. A wawakil has kelas ieu mod_security pikeun web server Apache.
Kami leuwih museurkeun NIDS universal nu ngarojong rupa-rupa protokol komunikasi jeung DPI (Deep Packet Inspection) téhnologi analisis pakét. Aranjeunna ngawas sadaya lalu lintas anu ngalangkungan, mimitian ti lapisan tautan data, sareng ngadeteksi rupa-rupa serangan jaringan, ogé aksés anu henteu sah kana inpormasi. Seringna sistem sapertos gaduh arsitéktur anu disebarkeun sareng tiasa berinteraksi sareng sababaraha alat jaringan aktip. Catet yén seueur NIDS modern anu hibrida sareng ngagabungkeun sababaraha pendekatan. Gumantung kana konfigurasi sareng setelan, aranjeunna tiasa ngabéréskeun sagala rupa masalah - contona, ngajagaan hiji titik atanapi sadayana jaringan. Salaku tambahan, fungsi IDS pikeun workstations direbut ku bungkusan anti-virus, anu, kusabab panyebaran Trojans anu ditujukeun pikeun maok inpormasi, janten firewall multifungsi anu ogé ngarengsekeun tugas-tugas pikeun ngenalkeun sareng ngahalangan lalu lintas anu curiga.
Mimitina, IDS ngan ukur tiasa ngadeteksi kagiatan malware, scanner port, atanapi, sebutkeun, palanggaran pangguna kana kawijakan kaamanan perusahaan. Nalika aya kajadian anu tangtu, aranjeunna ngabéjaan ka administrator, tapi éta gancang janten jelas yén ngan saukur ngakuan serangan éta henteu cekap - éta kedah diblokir. Jadi IDS robah jadi IPS (Intrusion Prevention Systems) - sistem pencegahan intrusion nu bisa berinteraksi sareng firewalls.
Métode deteksi
Deteksi intrusion modern sareng solusi pencegahan ngagunakeun sababaraha metode pikeun ngadeteksi kagiatan jahat, anu tiasa dibagi kana tilu kategori. Ieu masihan kami pilihan sanés pikeun ngagolongkeun sistem:
- IDS basis signature / IPS néangan pola lalulintas atawa ngawas parobahan kaayaan sistem pikeun ngadeteksi serangan jaringan atawa usaha inféksi. Aranjeunna praktis teu masihan misfires sarta positip palsu, tapi teu bisa ngaidentipikasi ancaman kanyahoan;
- IDS anu ngadeteksi anomali henteu nganggo tanda tangan serangan. Aranjeunna mikawanoh kabiasaan abnormal tina sistem informasi (kaasup anomali dina lalulintas jaringan) sarta bisa ngadeteksi serangan malah kanyahoan. Sistem sapertos kitu masihan seueur positip palsu sareng, upami dianggo leres, ngalumpuhkeun operasi jaringan lokal;
- IDS dumasar aturan dianggo sapertos: upami FAKTA teras AKSI. Nyatana, ieu mangrupikeun sistem ahli sareng dasar-dasar pangaweruh - sakumpulan fakta sareng aturan inferensi. Solusi sapertos kitu nyéépkeun waktos pikeun nyetél sareng meryogikeun pangurus gaduh pamahaman anu lengkep ngeunaan jaringan.
Sajarah ngembangkeun IDS
Era ngembangkeun gancang tina Internet sarta jaringan perusahaan dimimitian dina 90s abad panungtungan, kumaha oge, para ahli anu puzzled ku téhnologi kaamanan jaringan canggih saeutik saméméhna. Dina taun 1986, Dorothy Denning jeung Peter Neumann medalkeun modél IDES (Intrusion Detection Expert System), anu jadi dasar kalolobaan sistem deteksi intrusion modern. Anjeunna nganggo sistem ahli pikeun ngaidentipikasi serangan anu dipikanyaho, kitu ogé metode statistik sareng profil pangguna / sistem. IDES dijalankeun dina stasiun kerja Sun, mariksa lalu lintas jaringan sareng data aplikasi. Taun 1993, NIDES (Sistem Ahli Deteksi Intrusion Generasi salajengna) dileupaskeun - sistem ahli deteksi intrusion generasi anyar.
Dumasar kana karya Denning sareng Neumann, sistem ahli MIDAS (Multics intrusion detection and alerting system) muncul dina taun 1988, ngagunakeun P-BEST sareng LISP. Dina waktu nu sarua, sistem Haystack dumasar kana métode statistik dijieun. Detektor anomali statistik anu sanés, W&S (Wisdom & Sense), dikembangkeun sataun saatos di Laboratorium Nasional Los Alamos. Ngembangkeun industri lumangsung dina Pace gancang. Contona, dina taun 1990, deteksi anomali geus dilaksanakeun dina sistem TIM (Time-based induktif mesin) ngagunakeun learning induktif on sequential pamaké pola (Common LISP language). NSM (Network Security Monitor) dibandingkeun aksés matriks pikeun deteksi anomali, sarta ISOA (Informasi Kaamanan Officer urang Asisten) dirojong rupa strategi deteksi: métode statistik, mariksa profil jeung sistem ahli. Sistem ComputerWatch dijieun di AT & T Bell Labs dipaké duanana métode statistik jeung aturan pikeun verifikasi, sarta pamekar ti University of California narima prototipe mimiti IDS disebarkeun deui dina 1991 - DIDS (Distributed intrusion detection system) oge ahli. sistem.
Awalna, IDS éta proprietary, tapi geus di 1998, Laboratorium Nasional. Lawrence di Berkeley ngarilis Bro (diganti Zeek di 2018), sistem open source anu ngagunakeun basa aturan sorangan pikeun parsing data libpcap. Dina bulan Nopémber taun anu sami, pakét sniffer APE nganggo libpcap muncul, anu sabulan saatosna namina Snort, teras janten IDS / IPS lengkep. Dina waktos anu sami, seueur solusi proprietary mimiti muncul.
Snort jeung Suricata
Seueur perusahaan langkung milih IDS/IPS gratis sareng open source. Pikeun waktos anu lami, Snort anu parantos disebatkeun dianggap solusi standar, tapi ayeuna parantos diganti ku sistem Suricata. Mertimbangkeun kaunggulan jeung kalemahan maranéhanana dina leuwih jéntré saeutik. Snort ngagabungkeun mangpaat metode tanda tangan sareng deteksi anomali sacara real-time. Suricata ogé ngamungkinkeun métode séjén sagigireun deteksi signature serangan. Sistim ieu dijieun ku grup pamekar anu dipisahkeun kaluar tina proyék Snort tur ngarojong fitur IPS saprak versi 1.4, bari pencegahan intrusion muncul dina Snort engké.
Beda utama antara dua produk populér nyaéta kamampuan Suricata ngagunakeun GPU pikeun komputasi IDS, ogé IPS anu langkung maju. Sistim nu asalna dirancang pikeun multi-threading, bari Snort mangrupakeun produk single-threaded. Alatan sajarah panjang sarta kode warisan, teu make optimal multi-processor / platform hardware multi-core, bari Suricata tiasa ngadamel lalulintas nepi ka 10 Gbps on komputer normal Tujuan umum. Anjeun tiasa ngobrol ngeunaan kamiripan jeung béda antara dua sistem keur lila, tapi sanajan mesin Suricata jalan gancang, pikeun saluran teu lega teuing teu masalah.
Pilihan panyebaran
IPS kudu ditempatkeun dina cara nu sistem bisa ngawas bagéan jaringan dina kontrol na. Seringna, ieu mangrupikeun komputer khusus, hiji antarmuka anu nyambungkeun saatos alat ujung sareng "katingali" kana jaringan umum anu teu aman (Internet). Antarbeungeut IPS anu sanés disambungkeun kana input bagéan anu ditangtayungan supados sadaya lalu lintas ngalangkungan sistem sareng dianalisis. Dina kasus nu leuwih kompleks, meureun aya sababaraha bagéan nu ditangtayungan: contona, dina jaringan perusahaan, zona demilitarized (DMZ) mindeng disadiakeun kalawan layanan diaksés tina Internet.
IPS sapertos kitu tiasa nyegah scanning port atanapi serangan brute-force, eksploitasi kerentanan dina pangladén surat, pangladén wéb atanapi skrip, ogé jinis serangan éksternal anu sanés. Upami komputer dina jaringan lokal kainfeksi malware, IDS moal ngijinkeun aranjeunna ngahubungi server botnet anu aya di luar. Perlindungan anu langkung serius tina jaringan internal paling dipikaresep bakal meryogikeun konfigurasi anu kompleks sareng sistem anu disebarkeun sareng saklar anu diurus mahal anu sanggup ngeunteung lalu lintas pikeun antarmuka IDS anu nyambung ka salah sahiji palabuhan.
Sering jaringan perusahaan tunduk kana serangan denial-of-service (DDoS) disebarkeun. Sanajan IDS modern tiasa nungkulan aranjeunna, pilihan deployment di luhur téh saeutik pitulung di dieu. Sistem ngakuan kagiatan jahat sareng meungpeuk lalu lintas palsu, tapi pikeun ieu, pakét kedah ngalangkungan sambungan Internét éksternal sareng ngahontal antarmuka jaringan na. Gumantung kana inténsitas serangan, saluran pangiriman data bisa jadi teu bisa Cope jeung beban sarta tujuan panyerang bakal kahontal. Pikeun kasus sapertos kitu, kami nyarankeun nyebarkeun IDS dina server virtual anu gaduh sambungan internét anu langkung saé. Anjeun tiasa nyambungkeun VPS ka jaringan lokal ngaliwatan VPN, lajeng anjeun bakal kudu ngonpigurasikeun routing sadaya lalulintas éksternal ngaliwatan eta. Lajeng, dina acara serangan DDoS, anjeun moal kudu ngajalankeun pakét ngaliwatan sambungan kana panyadia, aranjeunna bakal diblokir dina host éksternal.
Masalah pilihan
Hésé pisan pikeun ngaidentipikasi pamimpin diantara sistem gratis. Pilihan IDS / IPS ditangtukeun ku topologi jaringan, fungsi panyalindungan anu dipikabutuh, kitu ogé karesep pribadi pangurus sareng kahayangna pikeun ngabobol setélan. Snort gaduh sajarah anu langkung panjang sareng langkung saé didokumentasikeun, sanaos inpormasi ngeunaan Suricata ogé gampang dipendakan online. Dina sagala hal, pikeun ngawasaan sistem, Anjeun kudu nyieun sababaraha usaha, nu antukna bakal mayar kaluar - hardware komérsial sarta hardware-software IDS / IPS rada mahal tur teu salawasna pas kana anggaran. Anjeun teu kudu kuciwa waktu spent, sabab administrator alus salawasna ngaronjatkeun kualifikasi na di expense dunungan. Dina kaayaan ieu, dulur meunang. Dina artikel salajengna, urang bakal ningali sababaraha pilihan pikeun nyebarkeun Suricata sareng ngabandingkeun sistem anu langkung modern sareng IDS klasik / IPS Snort dina praktékna.
sumber: www.habr.com