Hapo zamani, firewall ya kawaida na programu za kuzuia virusi zilitosha kulinda mtandao wa ndani, lakini seti kama hiyo haifai tena dhidi ya shambulio la watapeli wa kisasa na programu hasidi ambayo imeenea hivi karibuni. Firewall nzuri ya zamani inachambua vichwa vya pakiti tu, kupitisha au kuzizuia kwa mujibu wa seti ya sheria rasmi. Haijui chochote kuhusu yaliyomo kwenye vifurushi, na kwa hiyo haiwezi kutambua vitendo vya nje vya halali vya waingilizi. Programu za kupambana na virusi hazipati programu hasidi kila wakati, kwa hivyo msimamizi anakabiliwa na kazi ya kuangalia shughuli zisizo za kawaida na kuwatenga wahudumu walioambukizwa kwa wakati unaofaa.
Kuna zana nyingi za hali ya juu zinazokuruhusu kulinda miundombinu ya IT ya kampuni. Leo tutazungumza juu ya ugunduzi wa uingilizi wa chanzo wazi na mifumo ya kuzuia ambayo inaweza kutekelezwa bila kununua vifaa vya gharama kubwa na leseni za programu.
Uainishaji wa IDS/IPS
IDS (Mfumo wa Kugundua Kuingilia) ni mfumo ulioundwa kusajili shughuli za kutiliwa shaka kwenye mtandao au kwenye kompyuta tofauti. Hutunza kumbukumbu za matukio na kumjulisha mtu anayehusika na usalama wa taarifa kuzihusu. IDS inajumuisha vipengele vifuatavyo:
- sensorer za kutazama trafiki ya mtandao, kumbukumbu mbalimbali, nk.
- mfumo mdogo wa uchambuzi ambao hugundua ishara za athari mbaya katika data iliyopokelewa;
- kuhifadhi kwa ajili ya mkusanyiko wa matukio ya msingi na matokeo ya uchambuzi;
- console ya usimamizi.
Hapo awali, IDS ziliainishwa kulingana na eneo: zinaweza kulenga kulinda nodi za kibinafsi (Mfumo wa Kugundua Uvamizi wa Mwenyeji au Mpangishaji - HIDS) au kulinda mtandao mzima wa shirika (Mfumo wa Kugundua Uingiliaji wa Mtandao - NIDS). Inastahili kutaja kinachojulikana. APIDS (IDS inayotokana na itifaki ya programu): hufuatilia seti ndogo ya itifaki za safu ya programu ili kugundua mashambulizi mahususi na hazichambui kwa kina pakiti za mtandao. Bidhaa kama hizo kawaida hufanana na proksi na hutumiwa kulinda huduma maalum: seva ya wavuti na programu za wavuti (kwa mfano, zilizoandikwa katika PHP), seva za hifadhidata, nk. Mwakilishi wa kawaida wa darasa hili ni mod_security kwa seva ya wavuti ya Apache.
Tunavutiwa zaidi na NIDS ya ulimwengu wote ambayo inasaidia anuwai ya itifaki za mawasiliano na teknolojia za uchanganuzi wa pakiti za DPI (Ukaguzi wa Kifurushi cha Kina). Wanafuatilia trafiki zote zinazopita, kuanzia safu ya kiungo cha data, na kugundua aina mbalimbali za mashambulizi ya mtandao, pamoja na ufikiaji usioidhinishwa wa habari. Mara nyingi mifumo hiyo ina usanifu uliosambazwa na inaweza kuingiliana na vifaa mbalimbali vya mtandao vinavyofanya kazi. Kumbuka kuwa NIDS nyingi za kisasa ni mseto na huchanganya mbinu kadhaa. Kulingana na usanidi na mipangilio, wanaweza kutatua matatizo mbalimbali - kwa mfano, kulinda node moja au mtandao mzima. Kwa kuongeza, kazi za IDS za vituo vya kazi zilichukuliwa na vifurushi vya kupambana na virusi, ambavyo, kwa sababu ya kuenea kwa Trojans yenye lengo la kuiba habari, iligeuka kuwa firewalls za multifunctional ambazo pia kutatua kazi za kutambua na kuzuia trafiki ya tuhuma.
Hapo awali, IDS inaweza tu kugundua shughuli za programu hasidi, vichanganuzi vya bandari, au, tuseme, ukiukaji wa sera za usalama za shirika. Wakati tukio fulani lilipotokea, walimjulisha msimamizi, lakini haraka ikawa wazi kwamba kutambua tu shambulio hilo haitoshi - ilihitaji kuzuiwa. Kwa hivyo IDS ilibadilika kuwa IPS (Mifumo ya Kuzuia Kuingilia) - mifumo ya kuzuia uingiliaji ambayo inaweza kuingiliana na ngome.
Mbinu za utambuzi
Ugunduzi wa kisasa wa uingiliaji na ufumbuzi wa kuzuia hutumia mbinu mbalimbali za kuchunguza shughuli mbaya, ambazo zinaweza kugawanywa katika makundi matatu. Hii inatupa chaguo jingine la kuainisha mifumo:
- IDS/IPS kulingana na saini hutafuta ruwaza katika trafiki au kufuatilia mabadiliko ya hali ya mfumo ili kugundua shambulio la mtandao au jaribio la kuambukizwa. Kwa kweli haitoi makosa na chanya za uwongo, lakini hawawezi kugundua vitisho visivyojulikana;
- Vitambulisho vya kutambua hali isiyo ya kawaida havitumii saini za mashambulizi. Wanatambua tabia isiyo ya kawaida ya mifumo ya taarifa (ikiwa ni pamoja na hitilafu katika trafiki ya mtandao) na wanaweza kugundua hata mashambulizi yasiyojulikana. Mifumo kama hiyo hutoa chanya nyingi za uwongo na, ikiwa inatumiwa vibaya, inalemaza utendakazi wa mtandao wa ndani;
- Vitambulisho vinavyozingatia kanuni hufanya kazi kama: ikiwa FACT basi ACTION. Kwa kweli, hii ni mifumo ya wataalam yenye misingi ya maarifa - seti ya ukweli na sheria za uelekezaji. Suluhu kama hizo zinatumia wakati kusanidi na zinahitaji msimamizi kuwa na ufahamu wa kina wa mtandao.
Historia ya maendeleo ya IDS
Enzi ya maendeleo ya haraka ya mtandao na mitandao ya ushirika ilianza katika miaka ya 90 ya karne iliyopita, hata hivyo, wataalam walishangaa na teknolojia za juu za usalama wa mtandao mapema kidogo. Mnamo 1986, Dorothy Denning na Peter Neumann walichapisha mfano wa IDES (mfumo wa wataalam wa kugundua kuingilia), ambao ukawa msingi wa mifumo ya kisasa ya kugundua uvamizi. Alitumia mfumo wa kitaalamu kutambua mashambulizi yanayojulikana, pamoja na mbinu za takwimu na wasifu wa mtumiaji/mfumo. IDES iliendeshwa kwenye vituo vya kazi vya Sun, kuangalia trafiki ya mtandao na data ya programu. Mnamo 1993, NIDES (Mfumo wa Mtaalam wa Utambuzi wa Uingizaji wa Kizazi Kijacho) ilitolewa - mfumo wa wataalam wa kugundua uvamizi wa kizazi kipya.
Kulingana na kazi ya Denning na Neumann, mfumo wa wataalam wa MIDAS (Multics intrusion discover and alerting system) ulionekana mwaka wa 1988, ukitumia P-BEST na LISP. Wakati huo huo, mfumo wa Haystack kulingana na mbinu za takwimu uliundwa. Kigunduzi kingine cha makosa ya takwimu, W&S (Wisdom & Sense), kiliundwa mwaka mmoja baadaye katika Maabara ya Kitaifa ya Los Alamos. Maendeleo ya tasnia iliendelea kwa kasi kubwa. Kwa mfano, mnamo 1990, ugunduzi wa hitilafu ulikuwa tayari umetekelezwa katika mfumo wa TIM (Mashine ya kufata neno inayolingana na Wakati) kwa kutumia mafunzo kwa kufata neno kwenye mifumo mfuatano ya watumiaji (Lugha ya LISP ya Kawaida). NSM (Network Security Monitor) ililinganisha matrices ya ufikivu kwa ugunduzi wa hitilafu, na ISOA (Msaidizi wa Afisa Usalama wa Taarifa) iliunga mkono mikakati mbalimbali ya kugundua: mbinu za takwimu, kukagua wasifu na mfumo wa kitaalamu. Mfumo wa ComputerWatch ulioundwa katika AT & T Bell Labs ulitumia mbinu na sheria zote za takwimu kwa uthibitishaji, na watengenezaji wa Chuo Kikuu cha California walipokea mfano wa kwanza wa IDS iliyosambazwa mnamo 1991 - DIDS (Mfumo wa kugundua uingiliaji uliosambazwa) pia alikuwa mtaalamu. mfumo.
Mara ya kwanza, IDS walikuwa wamiliki, lakini tayari mwaka 1998, Maabara ya Taifa. Lawrence huko Berkeley alitoa Bro (aliyepewa jina jipya Zeek mnamo 2018), mfumo wa chanzo huria ambao hutumia lugha yake ya sheria kuchanganua data ya libpcap. Mnamo Novemba mwaka huo huo, pakiti ya APE ya kunusa kwa kutumia libpcap ilionekana, ambayo mwezi mmoja baadaye ilipewa jina la Snort, na baadaye ikawa IDS / IPS kamili. Wakati huo huo, suluhisho nyingi za wamiliki zilianza kuonekana.
Koroma na Suricata
Makampuni mengi yanapendelea IDS/IPS ya chanzo huria na huria. Kwa muda mrefu, Snort iliyotajwa tayari ilionekana kuwa suluhisho la kawaida, lakini sasa imebadilishwa na mfumo wa Suricata. Fikiria faida na hasara zao kwa undani zaidi. Snort huchanganya manufaa ya mbinu ya sahihi na utambuzi wa hitilafu katika wakati halisi. Suricata pia inaruhusu mbinu zingine kando na utambuzi wa saini za shambulio. Mfumo huu uliundwa na kikundi cha wasanidi programu ambao walijitenga na mradi wa Snort na kuauni vipengele vya IPS tangu toleo la 1.4, huku uzuiaji wa kuingilia ulionekana katika Snort baadaye.
Tofauti kuu kati ya bidhaa mbili maarufu ni uwezo wa Suricata kutumia GPU kwa kompyuta ya IDS, pamoja na IPS ya juu zaidi. Mfumo uliundwa awali kwa ajili ya thread nyingi, wakati Snort ni bidhaa ya thread moja. Kwa sababu ya historia ndefu na msimbo wake wa zamani, haitumii ipasavyo majukwaa ya vifaa vya vichakataji/msingi vingi, huku Suricata inaweza kushughulikia trafiki ya hadi Gbps 10 kwenye kompyuta za madhumuni ya jumla. Unaweza kuzungumza juu ya kufanana na tofauti kati ya mifumo miwili kwa muda mrefu, lakini ingawa injini ya Suricata inafanya kazi kwa kasi, kwa sio njia pana sana haijalishi.
Chaguzi za kupeleka
IPS lazima iwekwe kwa njia ambayo mfumo unaweza kufuatilia sehemu za mtandao chini ya udhibiti wake. Mara nyingi, hii ni kompyuta iliyojitolea, kiolesura kimoja ambacho huunganisha baada ya vifaa vya makali na "kuangalia" kupitia kwao kwa mitandao ya umma isiyo salama (Mtandao). Kiolesura kingine cha IPS kimeunganishwa kwa pembejeo ya sehemu iliyolindwa ili trafiki yote ipite kwenye mfumo na kuchambuliwa. Katika hali ngumu zaidi, kunaweza kuwa na sehemu kadhaa zilizolindwa: kwa mfano, katika mitandao ya ushirika, eneo lisilo na jeshi (DMZ) mara nyingi hutolewa na huduma zinazopatikana kutoka kwa Mtandao.
IPS kama hiyo inaweza kuzuia uchunguzi wa mlangoni au mashambulizi ya nguvu, utumiaji wa udhaifu katika seva ya barua, seva ya wavuti au hati, pamoja na aina zingine za mashambulizi ya nje. Ikiwa kompyuta kwenye mtandao wa ndani zimeambukizwa na programu hasidi, IDS haitawaruhusu kuwasiliana na seva za botnet ziko nje. Ulinzi mkali zaidi wa mtandao wa ndani utahitaji usanidi changamano na mfumo uliosambazwa na swichi za gharama kubwa zinazoweza kuakisi trafiki kwa kiolesura cha IDS kilichounganishwa kwenye mojawapo ya milango.
Mara nyingi mitandao ya ushirika inakabiliwa na mashambulizi ya kunyimwa huduma ya kusambazwa (DDoS). Ingawa vitambulisho vya kisasa vinaweza kukabiliana nazo, chaguo la kusambaza lililo hapo juu ni la usaidizi mdogo hapa. Mfumo hutambua shughuli mbaya na huzuia trafiki ya uwongo, lakini kwa hili, pakiti lazima zipitie muunganisho wa mtandao wa nje na kufikia kiolesura chake cha mtandao. Kulingana na ukubwa wa shambulio hilo, kituo cha upitishaji data kinaweza kushindwa kukabiliana na mzigo na lengo la washambuliaji litafikiwa. Kwa hali kama hizi, tunapendekeza kupeleka IDS kwenye seva pepe yenye muunganisho bora wa Intaneti unaojulikana. Unaweza kuunganisha VPS kwenye mtandao wa ndani kupitia VPN, na kisha utahitaji kusanidi upangaji wa trafiki yote ya nje kupitia hiyo. Kisha, katika tukio la shambulio la DDoS, hutalazimika kuendesha pakiti kupitia uunganisho kwa mtoa huduma, zitazuiwa kwenye mwenyeji wa nje.
Tatizo la chaguo
Ni vigumu sana kutambua kiongozi kati ya mifumo huru. Chaguo la IDS / IPS imedhamiriwa na topolojia ya mtandao, kazi muhimu za ulinzi, pamoja na matakwa ya kibinafsi ya msimamizi na hamu yake ya kuingiliana na mipangilio. Snort ina historia ndefu na imerekodiwa vyema, ingawa maelezo kuhusu Suricata pia ni rahisi kupata mtandaoni. Kwa hali yoyote, ili kujua mfumo, itabidi ufanye juhudi kadhaa, ambazo hatimaye zitalipa - vifaa vya kibiashara na programu za vifaa vya IDS / IPS ni ghali kabisa na haziingii kwenye bajeti kila wakati. Haupaswi kujuta wakati uliotumika, kwa sababu msimamizi mzuri kila wakati huboresha sifa zake kwa gharama ya mwajiri. Katika hali hii, kila mtu anashinda. Katika makala inayofuata, tutaangalia baadhi ya chaguo za kupeleka Suricata na kulinganisha mfumo wa kisasa zaidi na Ukorofi wa kawaida wa IDS/IPS kwa vitendo.
Chanzo: mapenzi.com