En gång i tiden räckte det med en vanlig brandvägg och antivirusprogram för att skydda ett lokalt nätverk, men en sådan uppsättning är inte längre tillräckligt effektiv mot attacker från moderna hackare och den skadliga programvara som har spridit sig på senare tid. En gammal bra brandvägg analyserar bara pakethuvuden, tillåter eller blockerar dem enligt en uppsättning formella regler. Den vet ingenting om innehållet i paketen och kan därför inte känna igen angriparnas till synes legitima handlingar. Antivirusprogram fångar inte alltid skadlig kod, så administratören står inför uppgiften att övervaka onormal aktivitet och i tid isolera infekterade värdar.
Det finns många avancerade verktyg tillgängliga för att skydda ett företags IT-infrastruktur. Idag kommer vi att prata om intrångsdetektering och förebyggande system med öppen källkod, som kan implementeras utan att köpa dyr utrustning och mjukvarulicenser.
IDS/IPS-klassificering
IDS (Intrusion Detection System) är ett system utformat för att registrera misstänkta aktiviteter på ett nätverk eller på en enskild dator. Den för händelseloggar och meddelar den anställde som ansvarar för informationssäkerhet om dem. Följande element kan särskiljas som en del av IDS:
- sensorer för visning av nätverkstrafik, olika loggar m.m.
- ett analysundersystem som identifierar tecken på skadlig påverkan i mottagna data;
- lagring för ackumulering av primära händelser och analysresultat;
- hanteringskonsol.
Till en början klassificerades IDS efter plats: de kunde fokuseras på att skydda enskilda noder (värdbaserat eller Host Intrusion Detection System - HIDS) eller att skydda hela företagets nätverk (nätverksbaserat eller Network Intrusion Detection System - NIDS). Det är värt att nämna den sk APIDS (Application Protocol-based IDS): De övervakar en begränsad uppsättning protokoll på applikationsnivå för att identifiera specifika attacker och gör inga djupgående analyser av nätverkspaket. Sådana produkter liknar vanligtvis proxyservrar och används för att skydda specifika tjänster: en webbserver och webbapplikationer (till exempel skrivna i PHP), en databasserver, etc. Ett typiskt exempel på denna klass är mod_security för Apache-webbservern.
Vi är mer intresserade av universella NIDS som stöder ett brett utbud av kommunikationsprotokoll och DPI-tekniker (Deep Packet Inspection). De övervakar all passerande trafik, med början från datalänklagret, och upptäcker ett brett utbud av nätverksattacker, såväl som försök till obehörig åtkomst till information. Ofta har sådana system en distribuerad arkitektur och kan interagera med olika aktiva nätverksutrustningar. Observera att många moderna NIDS är hybrider och kombinerar flera tillvägagångssätt. Beroende på konfiguration och inställningar kan de lösa olika problem - till exempel att skydda en nod eller hela nätverket. Dessutom togs funktionerna hos IDS för arbetsstationer över av antiviruspaket, som på grund av spridningen av trojaner som syftade till att stjäla information förvandlades till multifunktionella brandväggar som också löser problemen med att känna igen och blockera misstänkt trafik.
Till en början kunde IDS bara upptäcka skadlig programvara, portskannrar eller, säg, användaröverträdelser av företagets säkerhetspolicyer. När en viss händelse inträffade meddelade de administratören, men det stod snabbt klart att det inte räckte att bara känna igen attacken – den behövde blockeras. Så IDS omvandlades till IPS (Intrusion Prevention Systems) - intrångsskyddssystem som kan interagera med brandväggar.
Detektionsmetoder
Moderna lösningar för upptäckt och förebyggande av intrång använder en mängd olika metoder för att identifiera skadlig aktivitet, som kan delas in i tre kategorier. Detta ger oss ett annat alternativ för att klassificera system:
- Signaturbaserad IDS/IPS upptäcker mönster i trafik eller övervakar förändringar i systemens tillstånd för att fastställa en nätverksattack eller infektionsförsök. De ger praktiskt taget inga feltändningar och falska positiva resultat, men kan inte identifiera okända hot;
- Anomali-upptäckande IDS:er använder inte attacksignaturer. De känner igen onormalt beteende hos informationssystem (inklusive anomalier i nätverkstrafik) och kan till och med upptäcka okända attacker. Sådana system ger ganska många falska positiva resultat och, om de används felaktigt, förlamar det det lokala nätverkets funktion;
- Regelbaserad IDS arbetar efter principen: om FAKTA så HANDLING. I huvudsak är dessa expertsystem med kunskapsbaser - en uppsättning fakta och regler för logisk slutledning. Sådana lösningar är arbetskrävande att installera och kräver att administratören har en detaljerad förståelse för nätverket.
Historien om IDS-utveckling
Eran av snabb utveckling av Internet och företagsnätverk började på 90-talet av förra seklet, men experter blev förbryllade över avancerad nätverkssäkerhetsteknik lite tidigare. 1986 publicerade Dorothy Denning och Peter Neumann modellen IDES (Intrusion detection expert system), som blev grunden för de flesta moderna intrångsdetekteringssystem. Den använde ett expertsystem för att identifiera kända attacktyper, såväl som statistiska metoder och användar-/systemprofiler. IDES körde på Sun-arbetsstationer och inspekterade nätverkstrafik och applikationsdata. 1993 släpptes NIDES (Next-generation Intrusion Detection Expert System) - en ny generation expertsystem för intrångsdetektion.
Baserat på arbete av Denning och Neumann dök MIDAS (Multics intrusion detection and alerting system) expertsystem med P-BEST och LISP upp 1988. Samtidigt skapades Haystack-systemet baserat på statistiska metoder. En annan statistisk anomalidetektor, W&S (Wisdom & Sense), utvecklades ett år senare vid Los Alamos National Laboratory. Branschen utvecklades i snabb takt. Till exempel, 1990, implementerade TIM-systemet (Time-based inductive machine) redan anomalidetektering med hjälp av induktiv inlärning på sekventiella användarmönster (Common LISP language). NSM (Network Security Monitor) jämförde åtkomstmatriser för att upptäcka anomalier, och ISOA (Information Security Officer's Assistant) stödde olika detektionsstrategier: statistiska metoder, profilkontroll och expertsystem. ComputerWatch-systemet som skapades vid AT&T Bell Labs använde statistiska metoder och regler för verifiering, och utvecklarna vid University of California fick den första prototypen av en distribuerad IDS redan 1991 - DIDS (Distributed Intrusion Detection System) var också ett expertsystem.
Till en början var IDS proprietära, men redan 1998, National Laboratory. Lawrence Berkeley släppte Bro (döpt om till Zeek 2018), ett system med öppen källkod som använder ett proprietärt regelspråk för att analysera libpcap-data. I november samma år dök APE-paketsniffaren med libpcap upp, som en månad senare döptes om till Snort, och senare blev en fullfjädrad IDS/IPS. Samtidigt började många egna lösningar dyka upp.
Snort och Suricata
Många företag föredrar gratis och öppen källkod IDS/IPS. Länge ansågs redan nämnda Snort vara standardlösningen, men nu har den ersatts av Suricata-systemet. Låt oss titta på deras fördelar och nackdelar lite mer detaljerat. Snort kombinerar fördelarna med en signaturbaserad metod med möjligheten att upptäcka anomalier i realtid. Suricata låter dig också använda andra metoder förutom att känna igen attacker genom signaturer. Systemet skapades av en grupp utvecklare separerade från Snort-projektet och stöder IPS-funktioner från och med version 1.4, och Snort introducerade möjligheten att förhindra intrång senare.
Den största skillnaden mellan de två populära produkterna är Suricatas förmåga att använda GPU-datorer i IDS-läge, samt den mer avancerade IPS. Systemet är initialt designat för flertrådig, medan Snort är en enkeltrådig produkt. På grund av sin långa historia och äldre kod, använder den inte optimalt multiprocessor/flerkärniga hårdvaruplattformar, medan Suricata kan hantera trafik upp till 10 Gbps på vanliga datorer för allmänna ändamål. Vi kan prata länge om likheterna och skillnaderna mellan de två systemen, men även om Suricata-motorn fungerar snabbare, är detta inte av grundläggande betydelse för inte alltför breda kanaler.
Distributionsalternativ
IPS måste placeras på ett sådant sätt att systemet kan övervaka nätverkssegmenten under dess kontroll. Oftast är detta en dedikerad dator, vars ett gränssnitt är anslutet efter kantenheterna och "ser" igenom dem till oskyddade offentliga nätverk (Internet). Ett annat IPS-gränssnitt kopplas till det skyddade segmentets ingång så att all trafik passerar genom systemet och analyseras. I mer komplexa fall kan det finnas flera skyddade segment: till exempel i företagsnätverk tilldelas ofta en demilitariserad zon (DMZ) med tjänster som är tillgängliga från Internet.
En sådan IPS kan förhindra portskanning eller brute force-attacker med lösenord, exploatering av sårbarheter i e-postservern, webbservern eller skript, samt andra typer av externa attacker. Om datorer i det lokala nätverket är infekterade med skadlig programvara kommer IDS inte att tillåta dem att kontakta botnätsservrarna utanför. För ett mer seriöst skydd av det interna nätverket kommer sannolikt en komplex konfiguration med ett distribuerat system och dyra hanterade switchar som kan spegla trafik för IDS-gränssnittet anslutet till en av portarna att krävas.
Företagsnätverk utsätts ofta för DDoS-attacker (Distributed Denial of Service). Även om moderna IDS kan hantera dem, är det osannolikt att ovanstående distributionsalternativ kommer att hjälpa här. Systemet kommer att känna igen skadlig aktivitet och blockera falsk trafik, men för att göra detta måste paketen passera genom en extern Internetanslutning och nå dess nätverksgränssnitt. Beroende på attackens intensitet kanske dataöverföringskanalen inte kan klara av belastningen och angriparnas mål kommer att uppnås. I sådana fall rekommenderar vi att du distribuerar IDS på en virtuell server med en uppenbarligen kraftfullare internetanslutning. Du kan ansluta VPS:n till det lokala nätverket via ett VPN, och sedan måste du konfigurera routing av all extern trafik genom den. Då, i händelse av en DDoS-attack, behöver du inte skicka paket via anslutningen till leverantören, de kommer att blockeras på den externa noden.
Problem med valet
Det är mycket svårt att identifiera en ledare bland fria system. Valet av IDS/IPS bestäms av nätverkstopologin, de nödvändiga säkerhetsfunktionerna, såväl som administratörens personliga preferenser och hans önskan att mixtra med inställningarna. Snort har en längre historia och är bättre dokumenterad, även om information om Suricata också är lätt att hitta online. I vilket fall som helst, för att bemästra systemet måste du göra några ansträngningar, vilket så småningom kommer att löna sig - kommersiell hårdvara och hårdvara-programvara IDS/IPS är ganska dyra och passar inte alltid in i budgeten. Det är ingen idé att ångra bortkastad tid, eftersom en bra administratör alltid förbättrar sina kunskaper på bekostnad av arbetsgivaren. I det här läget vinner alla. I nästa artikel kommer vi att titta på några Suricata-distributionsalternativ och jämföra ett mer modernt system med det klassiska IDS/IPS Snort i praktiken.
Källa: will.com