Noong unang panahon, sapat na ang isang ordinaryong firewall at mga anti-virus na programa upang protektahan ang isang lokal na network, ngunit ang naturang set ay hindi na sapat na epektibo laban sa mga pag-atake ng mga modernong hacker at ang malware na lumaganap kamakailan. Sinusuri lamang ng isang magandang lumang firewall ang mga packet header, pinapayagan o hinaharangan ang mga ito ayon sa isang hanay ng mga pormal na panuntunan. Wala itong alam tungkol sa mga nilalaman ng mga packet, at samakatuwid ay hindi makilala ang tila mga lehitimong aksyon ng mga umaatake. Ang mga programa ng antivirus ay hindi palaging nakakakuha ng malware, kaya ang administrator ay nahaharap sa gawain ng pagsubaybay sa abnormal na aktibidad at napapanahong paghihiwalay ng mga nahawaang host.
Mayroong maraming mga advanced na tool na magagamit upang protektahan ang imprastraktura ng IT ng kumpanya. Ngayon ay pag-uusapan natin ang tungkol sa open source intrusion detection at prevention system, na maaaring ipatupad nang hindi bumibili ng mga mamahaling kagamitan at lisensya ng software.
Pag-uuri ng IDS/IPS
Ang IDS (Intrusion Detection System) ay isang sistema na idinisenyo upang magrehistro ng mga kahina-hinalang aktibidad sa isang network o sa isang indibidwal na computer. Pinapanatili nito ang mga log ng kaganapan at inaabisuhan ang empleyado na responsable para sa seguridad ng impormasyon tungkol sa kanila. Ang mga sumusunod na elemento ay maaaring makilala bilang bahagi ng IDS:
- mga sensor para sa pagtingin sa trapiko ng network, iba't ibang mga log, atbp.
- isang subsystem ng pagsusuri na tumutukoy sa mga palatandaan ng malisyosong impluwensya sa natanggap na data;
- imbakan para sa akumulasyon ng mga pangunahing kaganapan at mga resulta ng pagsusuri;
- console ng pamamahala.
Sa una, ang IDS ay inuri ayon sa lokasyon: maaari silang tumutok sa pagprotekta sa mga indibidwal na node (host-based o Host Intrusion Detection System - HIDS) o pagprotekta sa buong corporate network (network-based o Network Intrusion Detection System - NIDS). Ito ay nagkakahalaga ng pagbanggit sa tinatawag na APIDS (Application protocol-based IDS): Sinusubaybayan nila ang isang limitadong hanay ng mga protocol sa antas ng aplikasyon upang matukoy ang mga partikular na pag-atake at hindi gumagawa ng malalim na pagsusuri ng mga network packet. Ang mga naturang produkto ay karaniwang kahawig ng mga proxy at ginagamit upang protektahan ang mga partikular na serbisyo: isang web server at mga web application (halimbawa, nakasulat sa PHP), isang database server, atbp. Ang karaniwang halimbawa ng klase na ito ay mod_security para sa Apache web server.
Mas interesado kami sa unibersal na NIDS na sumusuporta sa malawak na hanay ng mga protocol ng komunikasyon at mga teknolohiya ng DPI (Deep Packet Inspection). Sinusubaybayan nila ang lahat ng dumadaang trapiko, simula sa layer ng data link, at nakakakita ng malawak na hanay ng mga pag-atake sa network, pati na rin ang mga pagtatangka sa hindi awtorisadong pag-access sa impormasyon. Kadalasan ang mga ganitong sistema ay may nakabahaging arkitektura at maaaring makipag-ugnayan sa iba't ibang aktibong kagamitan sa network. Tandaan na maraming modernong NIDS ay hybrid at pinagsama ang ilang mga diskarte. Depende sa pagsasaayos at mga setting, malulutas nila ang iba't ibang problema - halimbawa, pagprotekta sa isang node o sa buong network. Bilang karagdagan, ang mga pag-andar ng IDS para sa mga workstation ay kinuha ng mga pakete ng anti-virus, na, dahil sa pagkalat ng mga Trojan na naglalayong magnakaw ng impormasyon, ay naging mga multifunctional na firewall na nalulutas din ang mga problema sa pagkilala at pagharang sa kahina-hinalang trapiko.
Sa una, ang IDS ay makaka-detect lang ng aktibidad ng malware, mga port scanner, o, halimbawa, mga paglabag ng user sa mga patakaran sa seguridad ng kumpanya. Kapag naganap ang isang partikular na kaganapan, inabisuhan nila ang tagapangasiwa, ngunit mabilis itong naging malinaw na ang pagkilala lamang sa pag-atake ay hindi sapat - kailangan itong i-block. Kaya ang mga IDS ay binago sa IPS (Intrusion Prevention Systems) - mga sistema ng pag-iwas sa panghihimasok na may kakayahang makipag-ugnayan sa mga firewall.
Mga paraan ng pagtuklas
Ang mga modernong solusyon sa pagtuklas at pag-iwas sa panghihimasok ay gumagamit ng iba't ibang paraan upang matukoy ang malisyosong aktibidad, na maaaring nahahati sa tatlong kategorya. Nagbibigay ito sa amin ng isa pang opsyon para sa pag-uuri ng mga system:
- Ang mga signature-based na IDS/IPS ay nakakakita ng mga pattern sa trapiko o subaybayan ang mga pagbabago sa estado ng mga system upang matukoy ang isang pag-atake sa network o pagtatangkang impeksyon. Halos hindi sila nagbibigay ng mga misfire at maling positibo, ngunit hindi nila nakikilala ang mga hindi kilalang banta;
- Ang mga IDS na nagde-detect ng anomalya ay hindi gumagamit ng mga lagda sa pag-atake. Kinikilala nila ang hindi normal na pag-uugali ng mga sistema ng impormasyon (kabilang ang mga anomalya sa trapiko sa network) at maaari pang makakita ng mga hindi kilalang pag-atake. Ang ganitong mga sistema ay nagbibigay ng napakaraming maling positibo at, kung ginamit nang hindi tama, paralisahin ang pagpapatakbo ng lokal na network;
- Ang mga IDS na nakabatay sa panuntunan ay gumagana sa prinsipyo: kung KATOTOHANAN, pagkatapos ay ACTION. Sa esensya, ito ay mga ekspertong sistema na may mga base ng kaalaman - isang hanay ng mga katotohanan at mga panuntunan ng lohikal na hinuha. Ang ganitong mga solusyon ay labor-intensive upang i-set up at nangangailangan ng administrator na magkaroon ng isang detalyadong pag-unawa sa network.
Kasaysayan ng pag-unlad ng IDS
Ang panahon ng mabilis na pag-unlad ng Internet at mga corporate network ay nagsimula noong 90s ng huling siglo, ngunit ang mga eksperto ay nalilito sa mga advanced na teknolohiya sa seguridad ng network nang mas maaga. Noong 1986, inilathala nina Dorothy Denning at Peter Neumann ang modelong IDES (Intrusion detection expert system), na naging batayan ng karamihan sa mga modernong intrusion detection system. Gumamit ito ng isang ekspertong sistema upang matukoy ang mga kilalang uri ng pag-atake, pati na rin ang mga istatistikal na pamamaraan at mga profile ng user/system. Tumakbo ang IDES sa mga workstation ng Sun, na sinisiyasat ang trapiko sa network at data ng application. Noong 1993, inilabas ang NIDES (Next-generation Intrusion Detection Expert System) - isang bagong henerasyong sistema ng eksperto sa pagtuklas ng panghihimasok.
Batay sa gawain nina Denning at Neumann, lumitaw ang MIDAS (Multics intrusion detection and alerting system) expert system gamit ang P-BEST at LISP noong 1988. Kasabay nito, nilikha ang sistema ng Haystack batay sa mga istatistikal na pamamaraan. Ang isa pang statistical anomaly detector, W&S (Wisdom & Sense), ay binuo makalipas ang isang taon sa Los Alamos National Laboratory. Mabilis na umuunlad ang industriya. Halimbawa, noong 1990, ang sistema ng TIM (Time-based inductive machine) ay nagpatupad na ng anomalya na pagtuklas gamit ang inductive learning sa mga sunud-sunod na pattern ng user (Common LISP language). Inihambing ng NSM (Network Security Monitor) ang mga access matrice para makakita ng mga anomalya, at sinuportahan ng ISOA (Information Security Officer's Assistant) ang iba't ibang diskarte sa pag-detect: mga istatistikal na pamamaraan, pagsusuri sa profile at expert system. Gumamit ang ComputerWatch system na ginawa sa AT&T Bell Labs ng mga istatistikal na pamamaraan at panuntunan para sa pag-verify, at natanggap ng mga developer ng University of California ang unang prototype ng isang distributed IDS noong 1991 - Ang DIDS (Distributed Intrusion Detection System) ay isa ring expert system.
Sa una, ang IDS ay pagmamay-ari, ngunit noong 1998, ang National Laboratory. Inilabas ni Lawrence Berkeley si Bro (pinangalanang Zeek noong 2018), isang open source system na gumagamit ng proprietary rules language para sa pagsusuri ng libpcap data. Noong Nobyembre ng parehong taon, lumitaw ang APE packet sniffer gamit ang libpcap, na pagkalipas ng isang buwan ay pinalitan ng pangalan na Snort, at kalaunan ay naging isang ganap na IDS/IPS. Kasabay nito, nagsimulang lumitaw ang maraming pagmamay-ari na solusyon.
Snort at Suricata
Mas gusto ng maraming kumpanya ang libre at open source na IDS/IPS. Sa loob ng mahabang panahon, ang nabanggit na Snort ay itinuturing na karaniwang solusyon, ngunit ngayon ito ay pinalitan ng sistema ng Suricata. Tingnan natin ang kanilang mga pakinabang at disadvantages nang mas detalyado. Pinagsasama ng Snort ang mga benepisyo ng isang signature-based na pamamaraan na may kakayahang makakita ng mga anomalya sa real time. Pinapayagan ka rin ng Suricata na gumamit ng iba pang mga pamamaraan bukod sa pagkilala sa mga pag-atake sa pamamagitan ng mga lagda. Ang system ay nilikha ng isang grupo ng mga developer na hiwalay sa proyekto ng Snort at sumusuporta sa mga function ng IPS simula sa bersyon 1.4, at ipinakilala ng Snort ang kakayahang maiwasan ang mga panghihimasok sa ibang pagkakataon.
Ang pangunahing pagkakaiba sa pagitan ng dalawang sikat na produkto ay ang kakayahan ng Suricata na gumamit ng GPU computing sa IDS mode, pati na rin ang mas advanced na IPS. Ang system ay unang dinisenyo para sa multi-threading, habang ang Snort ay isang single-threaded na produkto. Dahil sa mahabang history at legacy code nito, hindi nito nagagamit nang husto ang mga multiprocessor/multicore hardware platform, samantalang ang Suricata ay kayang humawak ng trapiko hanggang 10 Gbps sa mga regular na general purpose na computer. Maaari nating pag-usapan nang matagal ang tungkol sa pagkakapareho at pagkakaiba sa pagitan ng dalawang sistema, ngunit kahit na ang Suricata engine ay gumagana nang mas mabilis, para sa hindi masyadong malawak na mga channel, hindi ito mahalaga.
Mga Pagpipilian sa Pag-deploy
Ang IPS ay dapat ilagay sa paraang masusubaybayan ng system ang mga segment ng network sa ilalim ng kontrol nito. Kadalasan, ito ay isang dedikadong computer, isang interface na kung saan ay konektado pagkatapos ng mga aparato sa gilid at "tumingin" sa pamamagitan ng mga ito sa hindi protektadong mga pampublikong network (ang Internet). Ang isa pang interface ng IPS ay konektado sa input ng protektadong segment upang ang lahat ng trapiko ay dumaan sa system at masuri. Sa mas kumplikadong mga kaso, maaaring mayroong ilang mga protektadong segment: halimbawa, sa mga corporate network ay madalas na inilalaan ang isang demilitarized zone (DMZ) na may mga serbisyong naa-access mula sa Internet.
Maaaring pigilan ng naturang IPS ang pag-scan sa port o mga pag-atake ng brute force ng password, pagsasamantala sa mga kahinaan sa mail server, web server o mga script, pati na rin ang iba pang mga uri ng panlabas na pag-atake. Kung ang mga computer sa lokal na network ay nahawaan ng malware, hindi sila papayagan ng IDS na makipag-ugnayan sa mga botnet server na nasa labas. Para sa mas seryosong proteksyon ng panloob na network, malamang na kailanganin ang isang kumplikadong configuration na may distributed system at mamahaling pinamamahalaang switch na may kakayahang mag-mirror ng trapiko para sa interface ng IDS na konektado sa isa sa mga port.
Ang mga corporate network ay kadalasang napapailalim sa mga distributed denial of service (DDoS) na pag-atake. Bagama't kayang harapin ng mga modernong IDS ang mga ito, malamang na hindi makakatulong dito ang opsyon sa pag-deploy sa itaas. Makikilala ng system ang malisyosong aktibidad at harangan ang huwad na trapiko, ngunit upang magawa ito, ang mga packet ay dapat dumaan sa isang panlabas na koneksyon sa Internet at maabot ang interface ng network nito. Depende sa tindi ng pag-atake, maaaring hindi makayanan ng channel ng paghahatid ng data ang pagkarga at makakamit ang layunin ng mga umaatake. Para sa mga ganitong kaso, inirerekomenda namin ang pag-deploy ng IDS sa isang virtual server na may malinaw na mas malakas na koneksyon sa Internet. Maaari mong ikonekta ang VPS sa lokal na network sa pamamagitan ng VPN, at pagkatapos ay kakailanganin mong i-configure ang pagruruta ng lahat ng panlabas na trapiko sa pamamagitan nito. Pagkatapos, sa kaganapan ng isang pag-atake ng DDoS, hindi mo na kailangang magpadala ng mga packet sa pamamagitan ng koneksyon sa provider; sila ay mai-block sa panlabas na node.
Problema ng pagpili
Napakahirap na tukuyin ang isang pinuno sa mga libreng sistema. Ang pagpili ng IDS/IPS ay tinutukoy ng topology ng network, ang mga kinakailangang function ng seguridad, pati na rin ang mga personal na kagustuhan ng administrator at ang kanyang pagnanais na mag-tinker sa mga setting. Ang Snort ay may mas mahabang kasaysayan at mas mahusay na naidokumento, bagama't ang impormasyon sa Suricata ay madaling mahanap online. Sa anumang kaso, upang makabisado ang system kailangan mong gumawa ng ilang mga pagsisikap, na sa kalaunan ay magbabayad - ang komersyal na hardware at hardware-software IDS/IPS ay medyo mahal at hindi palaging akma sa badyet. Walang kwenta ang pagsisisi sa nasayang na oras, dahil ang isang mabuting admin ay laging nagpapabuti ng kanyang kakayahan sa gastos ng employer. Sa ganitong sitwasyon, panalo ang lahat. Sa susunod na artikulo titingnan natin ang ilang mga opsyon sa pag-deploy ng Suricata at ihahambing ang isang mas modernong sistema na may klasikong IDS/IPS Snort sa pagsasanay.
Pinagmulan: www.habr.com