Замоне барои ҳифзи шабакаи маҳаллӣ як девори оддӣ ва барномаҳои антивирус кифоя буданд, аммо чунин маҷмӯа дигар бар зидди ҳамлаҳои ҳакерҳои муосир ва нармафзори зарароваре, ки ахиран зиёд шудааст, ба қадри кофӣ муассир нест. Сипари хуби кӯҳна танҳо сарлавҳаҳои бастаҳоро таҳлил мекунад, онҳоро мувофиқи маҷмӯи қоидаҳои расмӣ мегузаронад ё манъ мекунад. Вай дар бораи мундариҷаи бастаҳо чизе намедонад ва аз ин рӯ, амали қонунии берунии вайронкоронро эътироф карда наметавонад. Барномаҳои антивирусӣ на ҳамеша нармафзори зарароварро дастгир мекунанд, аз ин рӯ администратор бо вазифаи мониторинги фаъолияти аномалӣ ва ҷудо кардани ҳостҳои сироятшуда сари вақт меистад.
Бисёр абзорҳои пешрафта мавҷуданд, ки ба шумо имкон медиҳанд инфрасохтори IT-и ширкатро муҳофизат кунед. Имрӯз мо дар бораи системаҳои ошкор ва пешгирии ҳамлаҳои кушодаасос сӯҳбат хоҳем кард, ки онҳоро бидуни харидани литсензияҳои сахтафзор ва нармафзори гаронарзиш амалӣ кардан мумкин аст.
Таснифи IDS/IPS
IDS (System Detection Detection Intrusion) системаест, ки барои бақайдгирии фаъолиятҳои шубҳанок дар шабака ё компютери алоҳида пешбинӣ шудааст. Он сабтҳои рӯйдодҳоро нигоҳ медорад ва шахси масъули амнияти иттилоотиро дар бораи онҳо огоҳ мекунад. IDS унсурҳои зеринро дар бар мегирад:
- сенсорҳо барои дидани трафики шабака, гузоришҳои гуногун ва ғайра.
- зерсистемаи таҳлил, ки аломатҳои таъсири зарароварро дар маълумоти гирифташуда муайян мекунад;
- нигоҳдорӣ барои ҷамъоварии рӯйдодҳои аввалия ва натиҷаҳои таҳлил;
- консоли идоракунӣ.
Дар аввал, IDS аз рӯи ҷойгиршавӣ тасниф карда мешуд: онҳо метавонистанд ба ҳифзи гиреҳҳои инфиродӣ (дар асоси ҳост ё Системаи ошкоркунии ҳост - HIDS) ё ҳифзи тамоми шабакаи корпоративӣ (ба шабака асосёфта ё Системаи ошкоркунии ҳамлаҳои шабакавӣ - NIDS) нигаронида шаванд. Ба номро кайд кардан бамаврид аст. APIDS (IDS дар асоси протоколи барномавӣ): Онҳо маҷмӯи маҳдуди протоколҳои қабати барномаро барои ошкор кардани ҳамлаҳои мушаххас назорат мекунанд ва бастаҳои шабакаро амиқ таҳлил намекунанд. Чунин маҳсулот одатан ба прокси шабоҳат доранд ва барои ҳифзи хидматҳои мушаххас истифода мешаванд: веб-сервер ва барномаҳои веб (масалан, дар PHP навишта шудааст), серверҳои пойгоҳи додаҳо ва ғайра. Намояндаи маъмулии ин синф mod_security барои веб-сервери Apache мебошад.
Мо бештар ба NIDS универсалӣ таваҷҷӯҳ дорем, ки доираи васеи протоколҳои иртиботӣ ва технологияҳои таҳлили бастаҳои DPI (Deep Packet Inspection) -ро дастгирӣ мекунанд. Онҳо тамоми трафики гузарандаро аз қабати пайванди додаҳо назорат мекунанд ва доираи васеи ҳамлаҳои шабакавӣ, инчунин дастрасии беиҷозат ба иттилоотро ошкор мекунанд. Аксар вақт чунин системаҳо меъмории тақсимшуда доранд ва метавонанд бо таҷҳизоти гуногуни шабакавии фаъол ҳамкорӣ кунанд. Дар хотир доред, ки бисёре аз NIDS муосир гибрид мебошанд ва якчанд равишҳоро муттаҳид мекунанд. Вобаста ба конфигуратсия ва танзимот, онҳо метавонанд мушкилоти гуногунро ҳал кунанд - масалан, ҳифзи як гиреҳ ё тамоми шабака. Илова бар ин, функсияҳои IDS барои стансияҳои корӣ бастаҳои антивирусиро ба ӯҳда гирифтанд, ки аз сабаби паҳн шудани троянҳо, ки ба дуздии иттилоот нигаронида шудаанд, ба брандмауэрҳои бисёрфунксионалӣ табдил ёфтанд, ки инчунин вазифаҳои шинохтан ва бастани трафики шубҳанокро ҳал мекунанд.
Дар аввал, IDS метавонад танҳо фаъолияти нармафзори зараровар, сканерҳои портӣ ё, масалан, вайронкунии корбарони сиёсати амнияти корпоративиро ошкор кунад. Вақте ки ҳодисаи муайян рух дод, онҳо маъмурро огоҳ карданд, аммо зуд маълум шуд, ки танҳо эътироф кардани ҳамла кифоя нест - он бояд баста шавад. Ҳамин тариқ, IDS ба IPS (системаҳои пешгирии ҳамлаҳо) табдил ёфт - системаҳои пешгирии ҳамла, ки метавонанд бо деворҳои деворӣ ҳамкорӣ кунанд.
Усулҳои ошкор
Қарорҳои муосири ошкор ва пешгирии ҳамлаҳо барои ошкор кардани фаъолияти зараровар усулҳои гуногунро истифода мебаранд, ки онҳоро ба се категория тақсим кардан мумкин аст. Ин ба мо як варианти дигари таснифоти системаҳоро медиҳад:
- IDS/IPS дар асоси имзо намунаҳоро дар трафик ҷустуҷӯ мекунад ё тағироти ҳолати системаро барои ошкор кардани ҳамлаи шабака ё кӯшиши сироят назорат мекунад. Онҳо амалан хатогиҳо ва мусбатҳои бардурӯғ намедиҳанд, аммо таҳдидҳои номаълумро ошкор карда наметавонанд;
- IDS-ҳои ошкоркунандаи аномалия имзоҳои ҳамларо истифода намебаранд. Онҳо рафтори ғайримуқаррарии системаҳои иттилоотиро эътироф мекунанд (аз ҷумла аномалияҳо дар трафики шабакавӣ) ва метавонанд ҳатто ҳамлаҳои номаълумро ошкор кунанд. Чунин системаҳо бисёр мусбатҳои бардурӯғ медиҳанд ва агар нодуруст истифода шаванд, кори шабакаи маҳаллиро фалаҷ мекунанд;
- IDS-ҳои ба қоида асосёфта чунин кор мекунанд: агар FACT пас ACT. Дар асл, инҳо системаҳои коршиносӣ бо пойгоҳҳои донишанд - маҷмӯи далелҳо ва қоидаҳои хулосабарорӣ. Чунин қарорҳо барои насб вақти зиёдро талаб мекунанд ва аз маъмур фаҳмиши муфассали шабакаро талаб мекунанд.
Таърихи рушди IDS
Давраи рушди босуръати Интернет ва шабакаҳои корпоративӣ дар солҳои 90-уми асри гузашта оғоз ёфт, аммо коршиносон аз технологияҳои пешрафтаи амнияти шабака каме пештар дар ҳайрат монданд. Дар соли 1986 Дороти Деннинг ва Питер Нейман модели IDES-ро (системаи коршиносони ошкоркунии ҳамла) нашр карданд, ки асоси аксари системаҳои муосири ошкоркунии ҳамлаҳо гардид. Вай системаи коршиносиро барои муайян кардани ҳамлаҳои маълум, инчунин усулҳои оморӣ ва профилҳои корбар/система истифода бурд. IDES дар истгоҳҳои кории Sun кор карда, трафики шабака ва маълумоти барномаро тафтиш мекард. Дар соли 1993, NIDES (Next-generation Detection Expert System) бароварда шуд - системаи коршиносии насли нави ошкоркунии ҳамла.
Дар асоси кори Деннинг ва Нейман, системаи коршиносии MIDAS (System deitection and alerting multimedia intrusion and alerting system) соли 1988 бо истифода аз P-BEST ва LISP пайдо шуд. Дар баробари ин системаи Haystack ба усулҳои статистикӣ асос ёфтааст. Як детектори дигари аномалияи оморӣ, W&S (Wisdom & Sense) пас аз як сол дар Лабораторияи Миллии Лос Аламос таҳия карда шуд. Тараккиёти саноат бо суръати тез пеш рафт. Масалан, дар соли 1990 аллакай дар системаи TIM (мошини индуктивии вақт) бо истифода аз омӯзиши индуктивӣ дар намунаҳои пайдарпайи корбар (забони умумии LISP) ошкоркунии аномалия амалӣ карда шуд. NSM (Network Security Monitor) матритсаҳои дастрасиро барои ошкор кардани аномалия муқоиса кард ва ISOA (Ёрдамчии корманди амнияти иттилоотӣ) стратегияҳои гуногуни ошкоркуниро дастгирӣ кард: усулҳои оморӣ, санҷиши профил ва системаи коршиносӣ. Системаи ComputerWatch, ки дар AT & T Bell Labs сохта шудааст, ҳам усулҳои оморӣ ва ҳам қоидаҳои санҷишро истифода мебурд ва таҳиягарони Донишгоҳи Калифорния дар соли 1991 аввалин прототипи IDS-и тақсимшударо гирифтанд - DIDS (системаи паҳншудаи ошкоркунии ҳамла) инчунин коршинос буд. система.
Дар аввал, IDS хусусӣ буд, аммо аллакай дар соли 1998, Лабораторияи Миллӣ. Лоуренс дар Беркли Bro (бо номи Zeek дар соли 2018 иваз карда шуд), системаи кушодаасосро баровард, ки забони қоидаҳои худро барои таҳлили додаҳои libpcap истифода мебарад. Дар моҳи ноябри ҳамон сол, sniffer бастаи APE бо истифода аз libpcap пайдо шуд, ки пас аз як моҳ Snort номида шуд ва баъдтар ба IDS / IPS мукаммал табдил ёфт. Дар айни замон, қарорҳои сершумори хусусӣ пайдо шуданд.
Снорт ва Суриката
Бисёр ширкатҳо IDS/IPS-и ройгон ва кушодаасосро бартарӣ медиҳанд. Дар муддати тӯлонӣ, Snort дар боло зикршуда ҳалли стандартӣ ҳисобида мешуд, аммо ҳоло онро системаи Suricata иваз кардааст. Афзалиятҳо ва нуқсонҳои онҳоро каме муфассалтар баррасӣ кунед. Snort бартариҳои усули имзоро бо қобилияти ошкор кардани аномалияҳо дар вақти воқеӣ муттаҳид мекунад. Suricata инчунин ба ғайр аз ошкор кардани имзои ҳамла усулҳои дигарро иҷозат медиҳад. Система аз ҷониби як гурӯҳи таҳиягароне сохта шудааст, ки аз лоиҳаи Snort ҷудо шудаанд ва хусусиятҳои IPS-ро аз версияи 1.4 дастгирӣ мекунанд, дар ҳоле ки пешгирии ҳамла дар Snort дертар пайдо шуд.
Фарқи асосии байни ду маҳсулоти маъмул ин қобилияти Suricata барои истифодаи GPU барои ҳисоббарории IDS ва инчунин IPS пешрафтатар аст. Система дар ибтидо барои чанд ришта тарҳрезӣ шуда буд, дар ҳоле ки Snort маҳсулоти як ришта аст. Аз сабаби таърихи тӯлонӣ ва рамзи меросии худ, он платформаҳои сахтафзори бисёрпротсессори / чандаслӣ истифода намебарад, дар ҳоле ки Suricata метавонад трафикро то 10 Гбит / сонияро дар компютерҳои муқаррарии таъиншуда идора кунад. Шумо метавонед дар бораи монандӣ ва фарқиятҳои байни ду система муддати тӯлонӣ сӯҳбат кунед, аммо гарчанде ки муҳаррики Suricata тезтар кор мекунад, барои каналҳои на он қадар васеъ муҳим нест.
Имкониятҳои ҷойгиркунӣ
IPS бояд тавре ҷойгир карда шавад, ки система метавонад сегментҳои шабакаро таҳти назорати худ назорат кунад. Аксар вақт, ин компютери махсус аст, ки як интерфейси он пас аз дастгоҳҳои канорӣ пайваст мешавад ва тавассути онҳо ба шабакаҳои ҷамъиятии бехатар (Интернет) "нигарад". Интерфейси дигари IPS ба вуруди сегменти муҳофизатшуда пайваст карда шудааст, то тамоми трафик аз система гузарад ва таҳлил карда шавад. Дар ҳолатҳои мураккабтар, метавонад якчанд сегментҳои муҳофизатшуда вуҷуд дошта бошанд: масалан, дар шабакаҳои корпоративӣ, минтақаи бемилитаризатсияшуда (DMZ) аксар вақт бо хидматҳое, ки аз Интернет дастрасанд, ҷудо карда мешаванд.
Чунин IPS метавонад аз сканкунии порт ё ҳамлаҳои бераҳмона, истифодаи осебпазирӣ дар сервери почта, веб-сервер ё скриптҳо, инчунин дигар намудҳои ҳамлаҳои беруна пешгирӣ кунад. Агар компютерҳо дар шабакаи маҳаллӣ бо нармафзори зараровар сироят карда шаванд, IDS ба онҳо имкон намедиҳад, ки бо серверҳои ботнети дар берун ҷойгиршуда тамос гиранд. Муҳофизати ҷиддии шабакаи дохилӣ эҳтимолан конфигуратсияи мураккабро бо системаи тақсимшуда ва коммутаторҳои гаронарзиши идорашаванда, ки қодир ба инъикоси трафики интерфейси IDS ба яке аз портҳо вобаста аст, талаб мекунад.
Аксар вақт шабакаҳои корпоративӣ ба ҳамлаҳои тақсимшудаи радкунии хидмат (DDoS) дучор мешаванд. Гарчанде ки IDS-ҳои муосир метавонанд бо онҳо мубориза баранд, варианти ҷойгиркунии дар боло зикршуда дар ин ҷо кӯмаки кам дорад. Система фаъолияти зарароварро эътироф мекунад ва трафики бардурӯғро маҳкам мекунад, аммо барои ин, бастаҳо бояд аз пайвасти берунии интернет гузаранд ва ба интерфейси шабакавии он бирасанд. Вобаста ба шиддати ҳамла, канали интиқоли маълумот метавонад аз ӯҳдаи сарборӣ набарояд ва ҳадафи ҳамлагарон амалӣ мешавад. Барои чунин ҳолатҳо, мо тавсия медиҳем, ки IDS-ро дар сервери виртуалӣ бо пайвасти беҳтари интернетӣ истифода барем. Шумо метавонед VPS-ро ба шабакаи маҳаллӣ тавассути VPN пайваст кунед ва пас ба шумо лозим меояд, ки масири тамоми трафики берунаро тавассути он танзим кунед. Сипас, дар сурати ҳамлаи DDoS, ба шумо лозим нест, ки пакетҳоро тавассути пайвастшавӣ ба провайдер интиқол диҳед, онҳо дар ҳости беруна баста мешаванд.
Масъалаи интихоби
Муайян кардани пешво дар байни системаҳои ройгон хеле душвор аст. Интихоби IDS / IPS аз ҷониби топологияи шабака, хусусиятҳои зарурии амният, инчунин афзалиятҳои шахсии мудир ва хоҳиши ӯ барои муқовимат бо танзимот муайян карда мешавад. Snort таърихи тӯлонӣ дорад ва беҳтар ҳуҷҷатгузорӣ шудааст, гарчанде ки маълумот дар бораи Suricata низ дар интернет осон аст. Дар ҳар сурат, барои азхуд кардани система, шумо бояд кӯшиш кунед, ки дар ниҳоят фоидаоваранд - сахтафзорҳои тиҷоратӣ ва сахтафзор-нармафзори IDS / IPS хеле гарон ҳастанд ва на ҳамеша ба буҷет мувофиқат мекунанд. Шумо набояд аз вақти сарфшуда пушаймон шавед, зеро мудири хуб ҳамеша тахассуси худро аз ҳисоби корфармо такмил медиҳад. Дар ин вазъият ҳама ғолиб мешаванд. Дар мақолаи навбатӣ, мо баъзе вариантҳоро барои ҷойгиркунии Suricata дида мебароем ва дар амал системаи муосиртарро бо классикии IDS/IPS Snort муқоиса мекунем.
Манбаъ: will.com