Bir zamanlar sıradan bir güvenlik duvarı ve anti-virüs programları yerel bir ağı korumak için yeterliydi ancak böyle bir set artık modern bilgisayar korsanlarının saldırılarına ve son zamanlarda hızla çoğalan kötü amaçlı yazılımlara karşı yeterince etkili olamıyor. Eski güzel bir güvenlik duvarı yalnızca paket başlıklarını analiz eder ve bunlara bir dizi resmi kurala göre izin verir veya bunları engeller. Paketlerin içeriği hakkında hiçbir şey bilmez ve bu nedenle saldırganların meşru görünen eylemlerini tanıyamaz. Antivirüs programları her zaman kötü amaçlı yazılımları yakalamaz, bu nedenle yönetici anormal etkinlikleri izleme ve virüslü ana bilgisayarları zamanında izole etme göreviyle karşı karşıya kalır.
Bir şirketin BT altyapısını korumak için birçok gelişmiş araç mevcuttur. Bugün pahalı ekipman ve yazılım lisansları satın alınmadan hayata geçirilebilecek açık kaynaklı saldırı tespit ve önleme sistemlerinden bahsedeceğiz.
IDS/IPS sınıflandırması
IDS (İzinsiz Giriş Tespit Sistemi), bir ağdaki veya bireysel bir bilgisayardaki şüpheli etkinlikleri kaydetmek için tasarlanmış bir sistemdir. Olay loglarını tutar ve bunlar hakkında bilgi güvenliğinden sorumlu çalışana bilgi verir. Aşağıdaki öğeler IDS'in bir parçası olarak ayırt edilebilir:
- ağ trafiğini, çeşitli günlükleri vb. görüntülemek için sensörler.
- alınan verilerdeki kötü niyetli etki işaretlerini tanımlayan bir analiz alt sistemi;
- birincil olayların ve analiz sonuçlarının biriktirilmesi için depolama;
- Yönetim konsolu.
Başlangıçta IDS konuma göre sınıflandırılıyordu: bireysel düğümleri korumaya (ana bilgisayar tabanlı veya Ana Bilgisayar İzinsiz Giriş Tespit Sistemi - HIDS) veya tüm kurumsal ağı korumaya (ağ tabanlı veya Ağ Saldırı Tespit Sistemi - NIDS) odaklanabiliyorlardı. Sözde bahsetmeye değer APIDS (Uygulama protokolü tabanlı IDS): Belirli saldırıları tanımlamak için sınırlı sayıda uygulama düzeyindeki protokolleri izlerler ve ağ paketlerinin derinlemesine analizini yapmazlar. Bu tür ürünler genellikle proxy'lere benzer ve belirli hizmetleri korumak için kullanılır: bir web sunucusu ve web uygulamaları (örneğin, PHP ile yazılmış), bir veritabanı sunucusu vb. Bu sınıfın tipik bir örneği Apache web sunucusu için mod_security'dir.
Çok çeşitli iletişim protokollerini ve DPI (Derin Paket Denetimi) teknolojilerini destekleyen evrensel NIDS ile daha çok ilgileniyoruz. Veri bağlantısı katmanından başlayarak tüm geçen trafiği izlerler ve çok çeşitli ağ saldırılarının yanı sıra bilgiye yetkisiz erişim girişimlerini tespit ederler. Çoğu zaman bu tür sistemler dağıtılmış bir mimariye sahiptir ve çeşitli aktif ağ ekipmanlarıyla etkileşime girebilir. Birçok modern NIDS'nin hibrit olduğunu ve çeşitli yaklaşımları birleştirdiğini unutmayın. Yapılandırmaya ve ayarlara bağlı olarak çeşitli sorunları çözebilirler (örneğin, bir düğümü veya tüm ağı korumak). Ayrıca iş istasyonları için IDS'nin işlevleri, bilgi çalmayı amaçlayan Truva atlarının yayılması nedeniyle şüpheli trafiği tanıma ve engelleme sorunlarını da çözen çok işlevli güvenlik duvarlarına dönüşen anti-virüs paketleri tarafından devralındı.
Başlangıçta IDS yalnızca kötü amaçlı yazılım etkinliğini, bağlantı noktası tarayıcılarını veya örneğin kurumsal güvenlik politikalarının kullanıcı ihlallerini tespit edebiliyordu. Belirli bir olay meydana geldiğinde yöneticiye haber verdiler, ancak saldırıyı yalnızca fark etmenin yeterli olmadığı, engellenmesi gerektiği kısa sürede anlaşıldı. Böylece IDS, güvenlik duvarlarıyla etkileşime girebilen izinsiz giriş önleme sistemleri olan IPS'ye (Saldırı Önleme Sistemleri) dönüştürüldü.
Algılama yöntemleri
Modern izinsiz giriş tespit ve önleme çözümleri, kötü amaçlı etkinlikleri tanımlamak için üç kategoriye ayrılabilecek çeşitli yöntemler kullanır. Bu bize sistemleri sınıflandırmak için başka bir seçenek sunar:
- İmza tabanlı IDS/IPS, bir ağ saldırısı veya virüs bulaşma girişimini belirlemek için trafikteki kalıpları algılar veya sistemlerin durumundaki değişiklikleri izler. Pratikte teklemeler ve hatalı pozitif sonuçlar vermezler, ancak bilinmeyen tehditleri tespit edemezler;
- Anormallik tespit eden IDS'ler saldırı imzalarını kullanmaz. Bilgi sistemlerinin anormal davranışlarını (ağ trafiğindeki anormallikler dahil) tanırlar ve hatta bilinmeyen saldırıları bile tespit edebilirler. Bu tür sistemler oldukça fazla hatalı sonuç verir ve yanlış kullanıldığında yerel ağın çalışmasını felç eder;
- Kural tabanlı IDS şu prensibe göre çalışır: GERÇEK ise EYLEM. Temelde bunlar, bilgi tabanlarına sahip uzman sistemlerdir - bir dizi gerçek ve mantıksal çıkarım kuralları. Bu tür çözümlerin kurulumu yoğun emek gerektirir ve yöneticinin ağ hakkında ayrıntılı bilgi sahibi olmasını gerektirir.
IDS gelişiminin tarihi
İnternetin ve kurumsal ağların hızlı gelişme dönemi geçen yüzyılın 90'lı yıllarında başladı, ancak uzmanlar biraz daha erken gelişmiş ağ güvenliği teknolojileri karşısında şaşkına dönmüştü. 1986 yılında Dorothy Denning ve Peter Neumann, çoğu modern saldırı tespit sisteminin temeli haline gelen IDES (Saldırı tespit uzman sistemi) modelini yayınladı. Bilinen saldırı türlerinin yanı sıra istatistiksel yöntemler ve kullanıcı/sistem profillerini belirlemek için uzman bir sistem kullanıldı. IDES, Sun iş istasyonlarında çalışarak ağ trafiğini ve uygulama verilerini denetledi. 1993 yılında, yeni nesil bir saldırı tespit uzman sistemi olan NIDES (Yeni Nesil Saldırı Tespit Uzman Sistemi) piyasaya sürüldü.
Denning ve Neumann'ın çalışmalarına dayanarak, P-BEST ve LISP'yi kullanan MIDAS (Multics saldırı tespit ve uyarı sistemi) uzman sistemi 1988'de ortaya çıktı. Aynı zamanda istatistiksel yöntemlere dayalı Haystack sistemi oluşturuldu. Bir başka istatistiksel anormallik dedektörü olan W&S (Bilgelik ve Duyu), bir yıl sonra Los Alamos Ulusal Laboratuvarı'nda geliştirildi. Sektör hızla gelişiyordu. Örneğin, 1990 yılında TIM (Zamana dayalı tümevarımsal makine) sistemi, sıralı kullanıcı kalıpları (Ortak LISP dili) üzerinde tümevarımsal öğrenmeyi kullanarak anormallik tespitini zaten uygulamaya koydu. NSM (Ağ Güvenliği Monitörü) anormallikleri tespit etmek için erişim matrislerini karşılaştırdı ve ISOA (Bilgi Güvenliği Görevlisi Asistanı) çeşitli tespit stratejilerini destekledi: istatistiksel yöntemler, profil kontrolü ve uzman sistem. AT&T Bell Laboratuvarlarında oluşturulan ComputerWatch sistemi, doğrulama için istatistiksel yöntemler ve kurallar kullandı ve Kaliforniya Üniversitesi geliştiricileri, dağıtılmış bir IDS'nin ilk prototipini 1991 yılında aldılar - DIDS (Dağıtılmış Saldırı Tespit Sistemi) aynı zamanda bir uzman sistemdi.
İlk başta, IDS tescilli idi, ancak 1998'de zaten Ulusal Laboratuvardı. Lawrence Berkeley, libpcap verilerini analiz etmek için özel bir kural dili kullanan açık kaynaklı bir sistem olan Bro'yu (2018'de Zeek olarak yeniden adlandırıldı) piyasaya sürdü. Aynı yılın Kasım ayında, libpcap kullanan APE paket algılayıcısı ortaya çıktı; bu paket, bir ay sonra Snort olarak yeniden adlandırıldı ve daha sonra tam teşekküllü bir IDS/IPS haline geldi. Aynı zamanda çok sayıda özel çözüm ortaya çıkmaya başladı.
Snort ve Suricata
Birçok şirket ücretsiz ve açık kaynaklı IDS/IPS'yi tercih ediyor. Uzun bir süre, daha önce bahsedilen Snort standart çözüm olarak kabul edildi, ancak şimdi Suricata sistemi onun yerini aldı. Avantaj ve dezavantajlarına biraz daha ayrıntılı olarak bakalım. Snort, imza tabanlı bir yöntemin avantajlarını, anormallikleri gerçek zamanlı olarak tespit etme yeteneği ile birleştirir. Suricata, saldırıları imzalarla tanımanın yanı sıra başka yöntemleri de kullanmanıza olanak tanır. Sistem, Snort projesinden ayrılan bir grup geliştirici tarafından oluşturuldu ve 1.4 sürümünden itibaren IPS işlevlerini destekliyor ve Snort daha sonra izinsiz girişleri önleme özelliğini tanıttı.
İki popüler ürün arasındaki temel fark, Suricata'nın GPU hesaplamayı IDS modunda kullanma yeteneğinin yanı sıra daha gelişmiş IPS'dir. Sistem başlangıçta çoklu iş parçacığı için tasarlanmışken, Snort tek iş parçacıklı bir üründür. Uzun geçmişi ve eski kodu nedeniyle, çok işlemcili/çok çekirdekli donanım platformlarını en iyi şekilde kullanmazken Suricata, normal genel amaçlı bilgisayarlarda 10 Gbps'ye kadar trafiği işleyebilir. İki sistem arasındaki benzerlik ve farklılıklardan uzun süre bahsedebiliriz ancak Suricata motoru daha hızlı çalışsa da çok geniş olmayan kanallar için bu çok da önemli değil.
Dağıtım Seçenekleri
IPS, sistemin kontrolü altındaki ağ bölümlerini izleyebileceği şekilde yerleştirilmelidir. Çoğu zaman bu, bir arayüzü uç cihazlardan sonra bağlanan ve bunlar aracılığıyla korumasız genel ağlara (İnternet) "bakan" özel bir bilgisayardır. Korunan segmentin girişine başka bir IPS arayüzü bağlanarak tüm trafiğin sistem üzerinden geçmesi ve analiz edilmesi sağlanır. Daha karmaşık durumlarda, birkaç korunan bölüm olabilir: örneğin, kurumsal ağlarda, genellikle İnternet'ten erişilebilen hizmetlerle birlikte askerden arındırılmış bir bölge (DMZ) tahsis edilir.
Böyle bir IPS, bağlantı noktası taramayı veya parola kaba kuvvet saldırılarını, posta sunucusundaki, web sunucusundaki veya komut dosyalarındaki güvenlik açıklarından yararlanmanın yanı sıra diğer harici saldırı türlerini de önleyebilir. Yerel ağdaki bilgisayarlara kötü amaçlı yazılım bulaşmışsa IDS, bunların dışarıda bulunan botnet sunucularıyla iletişim kurmasına izin vermez. Dahili ağın daha ciddi bir şekilde korunması için, büyük olasılıkla, dağıtılmış bir sistem ve bağlantı noktalarından birine bağlı IDS arayüzü için trafiği yansıtabilen pahalı yönetilen anahtarlar içeren karmaşık bir yapılandırma gerekli olacaktır.
Kurumsal ağlar sıklıkla dağıtılmış hizmet reddi (DDoS) saldırılarına maruz kalır. Modern IDS bunların üstesinden gelse de yukarıdaki dağıtım seçeneğinin burada yardımcı olması pek mümkün değildir. Sistem, kötü amaçlı etkinlikleri tanıyacak ve sahte trafiği engelleyecektir, ancak bunu yapmak için paketlerin harici bir İnternet bağlantısından geçip ağ arayüzüne ulaşması gerekir. Saldırının yoğunluğuna bağlı olarak veri iletim kanalı bu yükü kaldıramayabilir ve saldırganların amacına ulaşması sağlanır. Bu gibi durumlarda, IDS'i açıkça daha güçlü bir İnternet bağlantısına sahip bir sanal sunucuya dağıtmanızı öneririz. VPS'yi bir VPN aracılığıyla yerel ağa bağlayabilirsiniz ve ardından tüm harici trafiğin bunun üzerinden yönlendirilmesini yapılandırmanız gerekecektir. Böylece bir DDoS saldırısı durumunda, bağlantı üzerinden sağlayıcıya paket göndermenize gerek kalmayacak; bunlar harici düğümde engellenecektir.
Seçim sorunu
Özgür sistemler arasında lider belirlemek oldukça zordur. IDS/IPS seçimi, ağ topolojisi, gerekli güvenlik fonksiyonlarının yanı sıra yöneticinin kişisel tercihleri ve ayarlarla oynama isteğine göre belirlenir. Snort'un daha uzun bir geçmişi vardır ve daha iyi belgelenmiştir, ancak Suricata hakkındaki bilgileri çevrimiçi olarak bulmak da kolaydır. Her durumda, sisteme hakim olmak için biraz çaba harcamanız gerekecek ve bu da sonunda karşılığını verecektir - ticari donanım ve donanım-yazılım IDS/IPS'leri oldukça pahalıdır ve her zaman bütçeye uymaz. Boşa harcanan zamandan pişmanlık duymanın bir anlamı yok, çünkü iyi bir yönetici her zaman işverenin pahasına becerilerini geliştirir. Bu durumda herkes kazanır. Bir sonraki makalede bazı Suricata dağıtım seçeneklerine bakacağız ve daha modern bir sistemi pratikteki klasik IDS/IPS Snort ile karşılaştıracağız.
Kaynak: habr.com