กาลครั้งหนึ่งนานมาแล้ว ไฟร์วอลล์ธรรมดาและโปรแกรมป้องกันไวรัสก็เพียงพอที่จะปกป้องเครือข่ายท้องถิ่น แต่ชุดดังกล่าวไม่มีประสิทธิภาพเพียงพอต่อการโจมตีของแฮ็กเกอร์สมัยใหม่และมัลแวร์ที่เพิ่งแพร่กระจาย ไฟร์วอลล์แบบเก่าที่ดีจะวิเคราะห์เฉพาะส่วนหัวของแพ็กเก็ต ส่งผ่านหรือปิดกั้นตามชุดของกฎที่เป็นทางการ มันไม่รู้อะไรเลยเกี่ยวกับเนื้อหาของแพ็คเกจ ดังนั้นจึงไม่สามารถรับรู้ถึงการกระทำที่ถูกต้องตามกฎหมายของผู้บุกรุกภายนอกได้ โปรแกรมป้องกันไวรัสไม่สามารถจับมัลแวร์ได้เสมอไป ดังนั้นผู้ดูแลระบบจึงต้องเผชิญกับงานตรวจสอบกิจกรรมที่ผิดปกติและแยกโฮสต์ที่ติดไวรัสออกอย่างทันท่วงที
มีเครื่องมือขั้นสูงมากมายที่ช่วยให้คุณสามารถปกป้องโครงสร้างพื้นฐานด้านไอทีของบริษัทได้ วันนี้เราจะพูดถึงระบบตรวจจับและป้องกันการบุกรุกแบบโอเพ่นซอร์สที่สามารถนำไปใช้ได้โดยไม่ต้องซื้อลิขสิทธิ์ฮาร์ดแวร์และซอฟต์แวร์ราคาแพง
การจำแนกประเภท IDS/IPS
IDS (ระบบตรวจจับการบุกรุก) เป็นระบบที่ออกแบบมาเพื่อลงทะเบียนกิจกรรมที่น่าสงสัยบนเครือข่ายหรือบนคอมพิวเตอร์เครื่องอื่น จะเก็บบันทึกเหตุการณ์และแจ้งให้ผู้รับผิดชอบด้านความปลอดภัยข้อมูลเกี่ยวกับเหตุการณ์เหล่านั้นทราบ IDS มีองค์ประกอบดังต่อไปนี้:
- เซ็นเซอร์สำหรับดูทราฟฟิกเครือข่าย บันทึกต่างๆ ฯลฯ
- ระบบย่อยการวิเคราะห์ที่ตรวจจับสัญญาณของผลกระทบที่เป็นอันตรายในข้อมูลที่ได้รับ
- การจัดเก็บเพื่อสะสมเหตุการณ์หลักและผลการวิเคราะห์
- คอนโซลการจัดการ
ในขั้นต้น IDS ถูกจำแนกตามตำแหน่ง: พวกเขาสามารถมุ่งเน้นไปที่การป้องกันแต่ละโหนด (ตามโฮสต์หรือระบบตรวจจับการบุกรุกโฮสต์ - HIDS) หรือปกป้องเครือข่ายขององค์กรทั้งหมด (ตามเครือข่ายหรือระบบตรวจจับการบุกรุกเครือข่าย - NIDS) เป็นมูลค่าการกล่าวขวัญที่เรียกว่า APIDS (IDS ที่ใช้โปรโตคอลของแอปพลิเคชัน): ตรวจสอบชุดของโปรโตคอลชั้นแอปพลิเคชันที่จำกัดเพื่อตรวจจับการโจมตีเฉพาะและไม่วิเคราะห์แพ็กเก็ตเครือข่ายอย่างลึกซึ้ง ผลิตภัณฑ์ดังกล่าวมักจะมีลักษณะคล้ายพร็อกซีและใช้เพื่อป้องกันบริการเฉพาะ: เว็บเซิร์ฟเวอร์และเว็บแอปพลิเคชัน (เช่น เขียนด้วย PHP) เซิร์ฟเวอร์ฐานข้อมูล เป็นต้น ตัวแทนทั่วไปของคลาสนี้คือ mod_security สำหรับเว็บเซิร์ฟเวอร์ Apache
เราสนใจ NIDS สากลที่สนับสนุนโปรโตคอลการสื่อสารที่หลากหลายและเทคโนโลยีการวิเคราะห์แพ็กเก็ต DPI (Deep Packet Inspection) พวกเขาตรวจสอบทราฟฟิกที่ผ่านทั้งหมด เริ่มตั้งแต่ชั้นดาต้าลิงค์ และตรวจจับการโจมตีเครือข่ายที่หลากหลาย รวมถึงการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต บ่อยครั้งที่ระบบดังกล่าวมีสถาปัตยกรรมแบบกระจายและสามารถโต้ตอบกับอุปกรณ์เครือข่ายที่ใช้งานอยู่ต่างๆ โปรดทราบว่า NIDS สมัยใหม่จำนวนมากเป็นแบบผสมผสานและผสมผสานหลายวิธีเข้าด้วยกัน ขึ้นอยู่กับการกำหนดค่าและการตั้งค่า พวกเขาสามารถแก้ปัญหาต่าง ๆ - ตัวอย่างเช่น ปกป้องหนึ่งโหนดหรือเครือข่ายทั้งหมด นอกจากนี้ ฟังก์ชัน IDS สำหรับเวิร์กสเตชันยังถูกควบคุมโดยแพ็คเกจป้องกันไวรัส ซึ่งเนื่องจากการแพร่กระจายของโทรจันที่มุ่งขโมยข้อมูล จึงกลายเป็นไฟร์วอลล์มัลติฟังก์ชั่นที่ช่วยแก้ปัญหาในการจดจำและบล็อกทราฟฟิกที่น่าสงสัย
ในขั้นต้น IDS สามารถตรวจจับได้เฉพาะกิจกรรมของมัลแวร์ โปรแกรมสแกนพอร์ต หรือกล่าวได้ว่าผู้ใช้ละเมิดนโยบายความปลอดภัยของบริษัท เมื่อมีเหตุการณ์บางอย่างเกิดขึ้น พวกเขาแจ้งผู้ดูแลระบบ แต่ก็ชัดเจนอย่างรวดเร็วว่าการตระหนักว่าการโจมตีนั้นไม่เพียงพอ - จำเป็นต้องบล็อก ดังนั้น IDS จึงเปลี่ยนเป็น IPS (ระบบป้องกันการบุกรุก) ซึ่งเป็นระบบป้องกันการบุกรุกที่สามารถโต้ตอบกับไฟร์วอลล์ได้
วิธีการตรวจจับ
โซลูชันการตรวจจับและป้องกันการบุกรุกสมัยใหม่ใช้วิธีการต่างๆ เพื่อตรวจจับกิจกรรมที่เป็นอันตราย ซึ่งสามารถแบ่งออกได้เป็นสามประเภท นี่ทำให้เรามีตัวเลือกอื่นสำหรับการจำแนกระบบ:
- IDS/IPS ที่ใช้ลายเซ็นค้นหารูปแบบในการรับส่งข้อมูลหรือตรวจสอบการเปลี่ยนแปลงสถานะระบบเพื่อตรวจหาการโจมตีเครือข่ายหรือการพยายามติดไวรัส พวกเขาแทบไม่ให้ข้อผิดพลาดและผลบวกที่ผิดพลาด แต่ไม่สามารถตรวจจับภัยคุกคามที่ไม่รู้จักได้
- IDS ที่ตรวจพบความผิดปกติจะไม่ใช้ลายเซ็นการโจมตี พวกเขารับรู้พฤติกรรมที่ผิดปกติของระบบข้อมูล (รวมถึงความผิดปกติในการรับส่งข้อมูลเครือข่าย) และสามารถตรวจจับได้แม้กระทั่งการโจมตีที่ไม่รู้จัก ระบบดังกล่าวให้ผลบวกที่ผิดพลาดค่อนข้างมากและหากใช้ไม่ถูกต้องจะทำให้การทำงานของเครือข่ายท้องถิ่นเป็นอัมพาต
- IDS ที่อิงตามกฎจะทำงานดังนี้: ถ้า FACT แล้วก็ ACTION อันที่จริงแล้ว ระบบเหล่านี้เป็นระบบผู้เชี่ยวชาญที่มีฐานความรู้ ซึ่งเป็นชุดของข้อเท็จจริงและกฎของการอนุมาน โซลูชันดังกล่าวใช้เวลานานในการตั้งค่าและผู้ดูแลระบบต้องมีความเข้าใจโดยละเอียดเกี่ยวกับเครือข่าย
ประวัติการพัฒนา IDS
ยุคของการพัฒนาอย่างรวดเร็วของอินเทอร์เน็ตและเครือข่ายองค์กรเริ่มต้นขึ้นในทศวรรษที่ 90 ของศตวรรษที่ผ่านมา อย่างไรก็ตาม ผู้เชี่ยวชาญรู้สึกงงงวยกับเทคโนโลยีความปลอดภัยเครือข่ายขั้นสูงก่อนหน้านี้เล็กน้อย ในปี 1986 Dorothy Denning และ Peter Neumann ได้เผยแพร่แบบจำลอง IDES (ระบบผู้เชี่ยวชาญการตรวจจับการบุกรุก) ซึ่งกลายเป็นพื้นฐานของระบบตรวจจับการบุกรุกที่ทันสมัยที่สุด เธอใช้ระบบผู้เชี่ยวชาญเพื่อระบุการโจมตีที่รู้จัก เช่นเดียวกับวิธีการทางสถิติและโปรไฟล์ผู้ใช้/ระบบ IDES ทำงานบนเวิร์กสเตชันของ Sun ตรวจสอบการรับส่งข้อมูลเครือข่ายและข้อมูลแอปพลิเคชัน ในปี 1993 NIDES (ระบบผู้เชี่ยวชาญการตรวจจับการบุกรุกยุคหน้า) ได้เปิดตัว ซึ่งเป็นระบบผู้เชี่ยวชาญการตรวจจับการบุกรุกรุ่นใหม่
จากผลงานของ Denning และ Neumann ระบบผู้เชี่ยวชาญ MIDAS (ระบบตรวจจับการบุกรุกและแจ้งเตือน Multics) ปรากฏขึ้นในปี 1988 โดยใช้ P-BEST และ LISP ในเวลาเดียวกัน ระบบ Haystack ตามวิธีการทางสถิติได้ถูกสร้างขึ้น W&S (Wisdom & Sense) เครื่องตรวจจับความผิดปกติทางสถิติอีกตัวได้รับการพัฒนาในปีต่อมาที่ Los Alamos National Laboratory การพัฒนาอุตสาหกรรมดำเนินไปอย่างรวดเร็ว ตัวอย่างเช่น ในปี 1990 การตรวจจับความผิดปกติได้ถูกนำมาใช้แล้วในระบบ TIM (Time-based inductive machine) โดยใช้การเรียนรู้แบบอุปนัยในรูปแบบผู้ใช้ตามลำดับ (ภาษา LISP ทั่วไป) NSM (Network Security Monitor) เปรียบเทียบเมทริกซ์การเข้าถึงสำหรับการตรวจจับความผิดปกติ และ ISOA (ผู้ช่วยของเจ้าหน้าที่รักษาความปลอดภัยข้อมูล) สนับสนุนกลยุทธ์การตรวจจับต่างๆ: วิธีการทางสถิติ การตรวจสอบโปรไฟล์ และระบบผู้เชี่ยวชาญ ระบบ ComputerWatch ที่สร้างขึ้นที่ AT & T Bell Labs ใช้ทั้งวิธีการทางสถิติและกฎสำหรับการตรวจสอบ และนักพัฒนาของ University of California ได้รับต้นแบบแรกของ IDS แบบกระจายในปี 1991 - DIDS (ระบบตรวจจับการบุกรุกแบบกระจาย) ก็เป็นผู้เชี่ยวชาญเช่นกัน ระบบ.
ในตอนแรก IDS เป็นกรรมสิทธิ์ แต่ในปี 1998 ห้องปฏิบัติการแห่งชาติ Lawrence จาก Berkeley เปิดตัว Bro (เปลี่ยนชื่อเป็น Zeek ในปี 2018) ซึ่งเป็นระบบโอเพ่นซอร์สที่ใช้ภาษากฎของตนเองในการแยกวิเคราะห์ข้อมูล libpcap ในเดือนพฤศจิกายนของปีเดียวกันนั้น APE packet sniffer โดยใช้ libpcap ปรากฏขึ้น ซึ่งหนึ่งเดือนต่อมาได้เปลี่ยนชื่อเป็น Snort และต่อมาก็กลายเป็น IDS / IPS เต็มรูปแบบ ในเวลาเดียวกัน โซลูชันที่เป็นกรรมสิทธิ์จำนวนมากก็เริ่มปรากฏขึ้น
Snort และ Suricata
หลายบริษัทต้องการ IDS/IPS แบบโอเพ่นซอร์สแบบฟรี เป็นเวลานาน Snort ที่กล่าวถึงแล้วถือเป็นโซลูชันมาตรฐาน แต่ตอนนี้ระบบ Suricata ถูกแทนที่แล้ว พิจารณาข้อดีและข้อเสียในรายละเอียดเพิ่มเติมเล็กน้อย Snort รวมประโยชน์ของวิธีการลายเซ็นเข้ากับการตรวจจับความผิดปกติแบบเรียลไทม์ Suricata ยังอนุญาตวิธีการอื่นนอกเหนือจากการตรวจจับลายเซ็นการโจมตี ระบบนี้สร้างขึ้นโดยกลุ่มนักพัฒนาที่แยกตัวออกจากโครงการ Snort และรองรับคุณสมบัติ IPS ตั้งแต่เวอร์ชัน 1.4 ในขณะที่ระบบป้องกันการบุกรุกปรากฏใน Snort ในภายหลัง
ความแตกต่างที่สำคัญระหว่างผลิตภัณฑ์ยอดนิยมทั้งสองคือความสามารถของ Suricata ในการใช้ GPU สำหรับการประมวลผล IDS รวมถึง IPS ที่ล้ำหน้ากว่า เดิมระบบได้รับการออกแบบมาสำหรับมัลติเธรด ในขณะที่ Snort เป็นผลิตภัณฑ์แบบเธรดเดียว เนื่องจากประวัติอันยาวนานและรหัสเดิม จึงไม่ได้ใช้ประโยชน์จากแพลตฟอร์มฮาร์ดแวร์แบบมัลติโปรเซสเซอร์/มัลติคอร์ ในขณะที่ Suricata สามารถรองรับทราฟฟิกได้สูงสุด 10 Gbps บนคอมพิวเตอร์ทั่วไปทั่วไป คุณสามารถพูดคุยเกี่ยวกับความเหมือนและความแตกต่างระหว่างสองระบบได้เป็นเวลานาน แต่ถึงแม้ว่ากลไก Suricata จะทำงานได้เร็วขึ้น แต่ก็ไม่สำคัญสำหรับช่องสัญญาณที่ไม่กว้างเกินไป
ตัวเลือกการปรับใช้
ต้องวาง IPS ในลักษณะที่ระบบสามารถตรวจสอบส่วนเครือข่ายภายใต้การควบคุมได้ บ่อยครั้งที่นี่คือคอมพิวเตอร์เฉพาะซึ่งอินเทอร์เฟซหนึ่งเชื่อมต่อหลังจากอุปกรณ์ขอบและ "ดู" ผ่านเครือข่ายสาธารณะที่ไม่ปลอดภัย (อินเทอร์เน็ต) อินเทอร์เฟซ IPS อื่นเชื่อมต่อกับอินพุตของส่วนที่ได้รับการป้องกันเพื่อให้ทราฟฟิกทั้งหมดผ่านระบบและวิเคราะห์ ในกรณีที่ซับซ้อนกว่านี้ อาจมีส่วนที่ได้รับการคุ้มครองหลายส่วน ตัวอย่างเช่น ในเครือข่ายองค์กร เขตปลอดทหาร (DMZ) มักจะถูกจัดสรรให้กับบริการที่เข้าถึงได้จากอินเทอร์เน็ต
IPS ดังกล่าวสามารถป้องกันการสแกนพอร์ตหรือการโจมตีแบบดุร้าย การใช้ประโยชน์จากช่องโหว่ในเมลเซิร์ฟเวอร์ เว็บเซิร์ฟเวอร์ หรือสคริปต์ รวมถึงการโจมตีภายนอกประเภทอื่นๆ หากคอมพิวเตอร์ในเครือข่ายท้องถิ่นติดมัลแวร์ IDS จะไม่อนุญาตให้คอมพิวเตอร์ติดต่อกับเซิร์ฟเวอร์บ็อตเน็ตที่อยู่ภายนอก การป้องกันเครือข่ายภายในที่จริงจังกว่านั้นมักจะต้องการการกำหนดค่าที่ซับซ้อนด้วยระบบกระจายและสวิตช์ที่มีการจัดการราคาแพงที่สามารถมิเรอร์ทราฟฟิกสำหรับอินเทอร์เฟซ IDS ที่เชื่อมต่อกับพอร์ตใดพอร์ตหนึ่ง
บ่อยครั้งที่เครือข่ายองค์กรถูกโจมตีโดยปฏิเสธการให้บริการ (DDoS) แบบกระจาย แม้ว่า IDS สมัยใหม่สามารถจัดการกับสิ่งเหล่านี้ได้ แต่ตัวเลือกการปรับใช้ด้านบนก็ช่วยได้เพียงเล็กน้อยที่นี่ ระบบรับรู้กิจกรรมที่เป็นอันตรายและบล็อกการรับส่งข้อมูลปลอม แต่สำหรับสิ่งนี้ แพ็กเก็ตจะต้องผ่านการเชื่อมต่ออินเทอร์เน็ตภายนอกและเข้าถึงอินเทอร์เฟซเครือข่าย ทั้งนี้ขึ้นอยู่กับความรุนแรงของการโจมตี ช่องทางการส่งข้อมูลอาจไม่สามารถรับมือกับโหลดได้และจะบรรลุเป้าหมายของผู้โจมตีได้ ในกรณีดังกล่าว เราขอแนะนำให้ปรับใช้ IDS บนเซิร์ฟเวอร์เสมือนที่มีการเชื่อมต่ออินเทอร์เน็ตที่ดีกว่า คุณสามารถเชื่อมต่อ VPS กับเครือข่ายท้องถิ่นผ่าน VPN จากนั้นคุณจะต้องกำหนดค่าการกำหนดเส้นทางการรับส่งข้อมูลภายนอกทั้งหมดผ่านเครือข่ายนั้น จากนั้น ในกรณีของการโจมตี DDoS คุณจะไม่ต้องส่งแพ็กเก็ตผ่านการเชื่อมต่อกับผู้ให้บริการ พวกเขาจะถูกบล็อกบนโฮสต์ภายนอก
ปัญหาการเลือก
เป็นการยากที่จะระบุผู้นำในระบบฟรี ทางเลือกของ IDS / IPS นั้นพิจารณาจากโทโพโลยีของเครือข่าย ฟังก์ชั่นการป้องกันที่จำเป็น รวมถึงความชอบส่วนบุคคลของผู้ดูแลระบบและความปรารถนาของเขาที่จะเล่นซอกับการตั้งค่า Snort มีประวัติที่ยาวนานกว่าและมีการจัดทำเป็นเอกสารที่ดีกว่า แม้ว่าข้อมูลเกี่ยวกับ Suricata จะค้นหาได้ง่ายทางออนไลน์ก็ตาม ไม่ว่าในกรณีใด คุณจะต้องพยายามให้เชี่ยวชาญระบบ ซึ่งในที่สุดจะได้ผล - ฮาร์ดแวร์เชิงพาณิชย์และฮาร์ดแวร์-ซอฟต์แวร์ IDS / IPS มีราคาค่อนข้างแพงและไม่เหมาะสมกับงบประมาณเสมอไป คุณไม่ควรเสียใจกับเวลาที่ใช้ไปเพราะผู้ดูแลระบบที่ดีมักจะปรับปรุงคุณสมบัติของเขาโดยที่นายจ้างต้องเสียค่าใช้จ่าย ในสถานการณ์นี้ ทุกคนชนะ ในบทความถัดไป เราจะดูตัวเลือกบางอย่างสำหรับการปรับใช้ Suricata และเปรียบเทียบระบบที่ทันสมัยกว่ากับ IDS/IPS Snort แบบคลาสสิกที่ใช้งานจริง
ที่มา: will.com