ایک زمانے میں، ایک عام فائر وال اور اینٹی وائرس پروگرام مقامی نیٹ ورک کی حفاظت کے لیے کافی ہوتے تھے، لیکن اس طرح کا سیٹ جدید ہیکرز کے حملوں اور حال ہی میں پھیلنے والے میلویئر کے خلاف کافی موثر نہیں رہا۔ ایک اچھا پرانا فائر وال صرف پیکٹ ہیڈر کا تجزیہ کرتا ہے، رسمی اصولوں کے ایک سیٹ کے مطابق انہیں اجازت دیتا ہے یا بلاک کرتا ہے۔ یہ پیکٹوں کے مواد کے بارے میں کچھ نہیں جانتا، اور اس لیے حملہ آوروں کے بظاہر جائز اقدامات کو نہیں پہچان سکتا۔ اینٹی وائرس پروگرام ہمیشہ میلویئر نہیں پکڑتے، اس لیے منتظم کو غیر معمولی سرگرمی کی نگرانی اور متاثرہ میزبانوں کو بروقت الگ کرنے کا کام درپیش ہے۔
کمپنی کے IT انفراسٹرکچر کی حفاظت کے لیے بہت سے جدید ٹولز دستیاب ہیں۔ آج ہم اوپن سورس کی مداخلت کا پتہ لگانے اور روک تھام کے نظام کے بارے میں بات کریں گے، جنہیں مہنگے آلات اور سافٹ ویئر لائسنس خریدے بغیر لاگو کیا جا سکتا ہے۔
IDS/IPS درجہ بندی
IDS (Intrusion Detection System) ایک ایسا نظام ہے جو کسی نیٹ ورک یا انفرادی کمپیوٹر پر مشکوک سرگرمیوں کو رجسٹر کرنے کے لیے ڈیزائن کیا گیا ہے۔ یہ ایونٹ کے لاگز کو رکھتا ہے اور ان کے بارے میں معلومات کی حفاظت کے ذمہ دار ملازم کو مطلع کرتا ہے۔ درج ذیل عناصر کو IDS کے حصے کے طور پر پہچانا جا سکتا ہے۔
- نیٹ ورک ٹریفک، مختلف لاگز وغیرہ دیکھنے کے لیے سینسر۔
- ایک تجزیہ ذیلی نظام جو موصول ہونے والے ڈیٹا میں بدنیتی پر مبنی اثر و رسوخ کی علامات کی نشاندہی کرتا ہے۔
- بنیادی واقعات اور تجزیہ کے نتائج کو جمع کرنے کے لیے ذخیرہ؛
- مینجمنٹ کنسول.
ابتدائی طور پر، IDS کو مقام کے لحاظ سے درجہ بندی کیا گیا تھا: وہ انفرادی نوڈس (میزبان پر مبنی یا میزبان مداخلت کا پتہ لگانے کا نظام - HIDS) یا پورے کارپوریٹ نیٹ ورک (نیٹ ورک پر مبنی یا نیٹ ورک انٹروژن ڈیٹیکشن سسٹم - NIDS) کی حفاظت پر توجہ مرکوز کرسکتے ہیں۔ یہ نام نہاد ذکر کرنے کے قابل ہے APIDS (ایپلیکیشن پروٹوکول پر مبنی IDS): وہ مخصوص حملوں کی نشاندہی کرنے کے لیے ایپلیکیشن لیول پروٹوکول کے ایک محدود سیٹ کی نگرانی کرتے ہیں اور نیٹ ورک پیکٹ کا گہرا تجزیہ نہیں کرتے ہیں۔ ایسی مصنوعات عام طور پر پراکسیز سے ملتی جلتی ہیں اور مخصوص خدمات کی حفاظت کے لیے استعمال ہوتی ہیں: ایک ویب سرور اور ویب ایپلیکیشنز (مثال کے طور پر، پی ایچ پی میں لکھا ہوا)، ڈیٹا بیس سرور وغیرہ۔ اس کلاس کی ایک عام مثال اپاچی ویب سرور کے لیے mod_security ہے۔
ہم یونیورسل NIDS میں زیادہ دلچسپی رکھتے ہیں جو مواصلاتی پروٹوکولز اور DPI (ڈیپ پیکٹ انسپیکشن) ٹیکنالوجیز کی ایک وسیع رینج کی حمایت کرتے ہیں۔ وہ ڈیٹا لنک لیئر سے شروع ہونے والے تمام گزرنے والے ٹریفک کی نگرانی کرتے ہیں، اور نیٹ ورک کے حملوں کی ایک وسیع رینج کے ساتھ ساتھ معلومات تک غیر مجاز رسائی کی کوششوں کا بھی پتہ لگاتے ہیں۔ اکثر ایسے نظاموں میں تقسیم شدہ فن تعمیر ہوتا ہے اور یہ مختلف فعال نیٹ ورک آلات کے ساتھ تعامل کر سکتے ہیں۔ نوٹ کریں کہ بہت سے جدید NIDS ہائبرڈ ہیں اور کئی طریقوں کو یکجا کرتے ہیں۔ ترتیب اور ترتیبات پر منحصر ہے، وہ مختلف مسائل کو حل کر سکتے ہیں - مثال کے طور پر، ایک نوڈ یا پورے نیٹ ورک کی حفاظت. اس کے علاوہ، ورک سٹیشنز کے لیے IDS کے افعال کو اینٹی وائرس پیکجز نے سنبھال لیا، جو کہ معلومات کی چوری کرنے والے ٹروجنز کے پھیلاؤ کی وجہ سے، ملٹی فنکشنل فائر والز میں تبدیل ہو گئے جو مشکوک ٹریفک کو پہچاننے اور روکنے کے مسائل کو بھی حل کرتے ہیں۔
ابتدائی طور پر، IDS صرف میلویئر کی سرگرمی، پورٹ اسکینرز، یا، کہہ لیں، صارف کی کارپوریٹ سیکیورٹی پالیسیوں کی خلاف ورزیوں کا پتہ لگا سکتا ہے۔ جب کوئی خاص واقعہ پیش آیا، تو انہوں نے منتظم کو مطلع کیا، لیکن یہ جلد ہی واضح ہو گیا کہ صرف حملے کو پہچاننا ہی کافی نہیں ہے - اسے بلاک کرنے کی ضرورت ہے۔ لہذا IDS کو IPS (Intrusion Prevention Systems) میں تبدیل کر دیا گیا - مداخلت کی روک تھام کے نظام جو فائر والز کے ساتھ بات چیت کرنے کے قابل ہیں۔
پتہ لگانے کے طریقے
دراندازی کا پتہ لگانے اور روک تھام کے جدید حل بدنیتی پر مبنی سرگرمی کی شناخت کے لیے مختلف طریقے استعمال کرتے ہیں، جنہیں تین زمروں میں تقسیم کیا جا سکتا ہے۔ یہ ہمیں نظاموں کی درجہ بندی کے لیے ایک اور اختیار فراہم کرتا ہے:
- دستخط پر مبنی IDS/IPS ٹریفک میں پیٹرن کا پتہ لگاتا ہے یا نیٹ ورک کے حملے یا انفیکشن کی کوشش کا تعین کرنے کے لیے سسٹم کی حالت میں تبدیلیوں کی نگرانی کرتا ہے۔ وہ عملی طور پر غلط فائر اور غلط مثبت نہیں دیتے، لیکن نامعلوم خطرات کی نشاندہی کرنے کے قابل نہیں ہیں۔
- بے ضابطگی کا پتہ لگانے والے IDS حملے کے دستخط استعمال نہیں کرتے ہیں۔ وہ انفارمیشن سسٹم کے غیر معمولی رویے کو پہچانتے ہیں (بشمول نیٹ ورک ٹریفک میں بے ضابطگیوں) اور یہاں تک کہ نامعلوم حملوں کا بھی پتہ لگا سکتے ہیں۔ اس طرح کے نظام بہت زیادہ غلط مثبتات دیتے ہیں اور اگر غلط استعمال کیا جائے تو مقامی نیٹ ورک کے آپریشن کو مفلوج کر دیتے ہیں۔
- اصول پر مبنی IDS اصول پر کام کرتی ہے: اگر FACT تو ACTION۔ جوہر میں، یہ علمی بنیادوں کے ساتھ ماہرانہ نظام ہیں - حقائق کا ایک مجموعہ اور منطقی تخمینہ کے اصول۔ اس طرح کے حل ترتیب دینے کے لیے محنت طلب ہوتے ہیں اور ان کے لیے منتظم کو نیٹ ورک کی تفصیلی تفہیم کی ضرورت ہوتی ہے۔
IDS کی ترقی کی تاریخ
انٹرنیٹ اور کارپوریٹ نیٹ ورکس کی تیز رفتار ترقی کا دور پچھلی صدی کے 90 کی دہائی میں شروع ہوا، لیکن ماہرین اس سے کچھ پہلے ہی جدید نیٹ ورک سیکیورٹی ٹیکنالوجیز سے حیران رہ گئے۔ 1986 میں، ڈوروتھی ڈیننگ اور پیٹر نیومن نے IDES (Intrusion detection expert system) ماڈل شائع کیا، جو زیادہ تر جدید دخل اندازی کا پتہ لگانے کے نظام کی بنیاد بن گیا۔ اس نے حملے کی معلوم اقسام کے ساتھ ساتھ شماریاتی طریقوں اور صارف/سسٹم پروفائلز کی شناخت کے لیے ایک ماہر نظام کا استعمال کیا۔ IDES نیٹ ورک ٹریفک اور ایپلیکیشن ڈیٹا کا معائنہ کرتے ہوئے، سن ورک سٹیشنز پر چلا۔ 1993 میں، NIDES (Next-generation Intrusion Detection Expert System) کو جاری کیا گیا - ایک نئی نسل کی مداخلت کا پتہ لگانے والا ماہر نظام۔
ڈیننگ اور نیومن کے کام کی بنیاد پر، MIDAS (Multics intrusion detection and alerting system) ماہر نظام P-BEST اور LISP کا استعمال کرتے ہوئے 1988 میں نمودار ہوا۔ اسی وقت، شماریاتی طریقوں پر مبنی Haystack نظام بنایا گیا تھا. ایک اور شماریاتی بے ضابطگی کا پتہ لگانے والا، W&S (Wisdom & Sense)، ایک سال بعد لاس الاموس نیشنل لیبارٹری میں تیار کیا گیا۔ صنعت تیزی سے ترقی کر رہی تھی۔ مثال کے طور پر، 1990 میں، TIM (Time-based inductive machine) سسٹم نے پہلے سے ہی ترتیب وار صارف کے نمونوں (Common LISP زبان) پر انڈکٹو لرننگ کا استعمال کرتے ہوئے بے ضابطگی کا پتہ لگانے کو لاگو کر دیا ہے۔ این ایس ایم (نیٹ ورک سیکیورٹی مانیٹر) نے بے ضابطگیوں کا پتہ لگانے کے لیے رسائی میٹرکس کا موازنہ کیا، اور آئی ایس او اے (انفارمیشن سیکیورٹی آفیسرز اسسٹنٹ) نے پتہ لگانے کی مختلف حکمت عملیوں کی حمایت کی: شماریاتی طریقے، پروفائل چیکنگ اور ماہرانہ نظام۔ AT&T Bell Labs میں بنائے گئے ComputerWatch سسٹم نے تصدیق کے لیے شماریاتی طریقوں اور اصولوں کا استعمال کیا، اور یونیورسٹی آف کیلیفورنیا کے ڈویلپرز کو 1991 میں تقسیم شدہ IDS کا پہلا پروٹو ٹائپ موصول ہوا - DIDS (Distributed Intrusion Detection System) بھی ایک ماہر نظام تھا۔
پہلے تو، IDS ملکیتی تھے، لیکن پہلے ہی 1998 میں، نیشنل لیبارٹری۔ لارنس برکلے نے برو (2018 میں Zeek کا نام تبدیل کر دیا) جاری کیا، ایک اوپن سورس سسٹم جو libpcap ڈیٹا کا تجزیہ کرنے کے لیے ملکیتی قواعد کی زبان استعمال کرتا ہے۔ اسی سال نومبر میں، libpcap کا استعمال کرتے ہوئے APE پیکٹ سنیفر نمودار ہوا، جسے ایک ماہ بعد Snort کا نام دیا گیا، اور بعد میں ایک مکمل IDS/IPS بن گیا۔ اس کے ساتھ ہی متعدد ملکیتی حل سامنے آنے لگے۔
Snort اور Suricata
بہت سی کمپنیاں مفت اور اوپن سورس IDS/IPS کو ترجیح دیتی ہیں۔ ایک طویل عرصے تک، پہلے سے ذکر کردہ Snort کو معیاری حل سمجھا جاتا تھا، لیکن اب اسے Suricata سسٹم نے تبدیل کر دیا ہے۔ آئیے ان کے فوائد اور نقصانات کو تھوڑی تفصیل سے دیکھتے ہیں۔ Snort حقیقی وقت میں بے ضابطگیوں کا پتہ لگانے کی صلاحیت کے ساتھ دستخط پر مبنی طریقہ کے فوائد کو یکجا کرتا ہے۔ Suricata آپ کو دستخطوں کے ذریعے حملوں کو پہچاننے کے علاوہ دوسرے طریقے استعمال کرنے کی بھی اجازت دیتا ہے۔ یہ سسٹم Snort پروجیکٹ سے الگ ہونے والے ڈویلپرز کے ایک گروپ کے ذریعے بنایا گیا تھا اور ورژن 1.4 سے شروع ہونے والے IPS فنکشنز کو سپورٹ کرتا ہے، اور Snort نے بعد میں مداخلت کو روکنے کی صلاحیت متعارف کرائی۔
دو مقبول مصنوعات کے درمیان بنیادی فرق آئی ڈی ایس موڈ میں GPU کمپیوٹنگ کے ساتھ ساتھ زیادہ جدید IPS استعمال کرنے کی Suricata کی صلاحیت ہے۔ سسٹم کو ابتدائی طور پر ملٹی تھریڈنگ کے لیے ڈیزائن کیا گیا ہے، جبکہ Snort ایک واحد تھریڈڈ پروڈکٹ ہے۔ اپنی طویل تاریخ اور میراثی کوڈ کی وجہ سے، یہ ملٹی پروسیسر/ملٹی کور ہارڈویئر پلیٹ فارمز کو زیادہ سے زیادہ استعمال نہیں کرتا، جبکہ سوریکاٹا عام مقصد کے کمپیوٹرز پر 10 Gbps تک ٹریفک کو سنبھال سکتا ہے۔ ہم دونوں نظاموں کے درمیان مماثلت اور فرق کے بارے میں طویل عرصے تک بات کر سکتے ہیں، لیکن اگرچہ Suricata انجن زیادہ تیزی سے کام کرتا ہے، بہت زیادہ وسیع چینلز کے لیے یہ بنیادی اہمیت کا حامل نہیں ہے۔
تعیناتی کے اختیارات
آئی پی ایس کو اس طرح رکھا جانا چاہیے کہ سسٹم اپنے زیر کنٹرول نیٹ ورک کے حصوں کی نگرانی کر سکے۔ اکثر، یہ ایک سرشار کمپیوٹر ہے، جس میں سے ایک انٹرفیس کنارے والے آلات کے بعد منسلک ہوتا ہے اور ان کے ذریعے غیر محفوظ عوامی نیٹ ورکس (انٹرنیٹ) میں "نظر آتا ہے"۔ ایک اور IPS انٹرفیس محفوظ شدہ حصے کے ان پٹ سے منسلک ہے تاکہ تمام ٹریفک سسٹم سے گزرے اور اس کا تجزیہ کیا جائے۔ زیادہ پیچیدہ معاملات میں، کئی محفوظ حصے ہو سکتے ہیں: مثال کے طور پر، کارپوریٹ نیٹ ورکس میں ایک غیر فوجی زون (DMZ) اکثر انٹرنیٹ سے قابل رسائی خدمات کے ساتھ مختص کیا جاتا ہے۔
اس طرح کا آئی پی ایس پورٹ اسکیننگ یا پاس ورڈ بروٹ فورس حملوں، میل سرور، ویب سرور یا اسکرپٹس میں کمزوریوں کے استحصال کے ساتھ ساتھ دیگر قسم کے بیرونی حملوں کو روک سکتا ہے۔ اگر مقامی نیٹ ورک پر موجود کمپیوٹرز میلویئر سے متاثر ہیں، تو IDS انہیں باہر واقع بوٹ نیٹ سرورز سے رابطہ کرنے کی اجازت نہیں دے گا۔ اندرونی نیٹ ورک کے زیادہ سنجیدہ تحفظ کے لیے، ایک تقسیم شدہ نظام کے ساتھ ایک پیچیدہ ترتیب اور بندرگاہوں میں سے کسی ایک سے منسلک IDS انٹرفیس کے لیے ٹریفک کی عکس بندی کرنے کے قابل مہنگے مینیجڈ سوئچز کی ضرورت ہو گی۔
کارپوریٹ نیٹ ورک اکثر تقسیم شدہ انکار سروس (DDoS) حملوں کے تابع ہوتے ہیں۔ اگرچہ جدید IDS ان سے نمٹ سکتا ہے، لیکن اوپر تعیناتی کا آپشن یہاں مدد کرنے کا امکان نہیں ہے۔ سسٹم بدنیتی پر مبنی سرگرمی کو پہچانے گا اور جعلی ٹریفک کو روکے گا، لیکن ایسا کرنے کے لیے، پیکٹ کو ایک بیرونی انٹرنیٹ کنکشن سے گزرنا چاہیے اور اس کے نیٹ ورک انٹرفیس تک پہنچنا چاہیے۔ حملے کی شدت پر منحصر ہے، ہو سکتا ہے کہ ڈیٹا ٹرانسمیشن چینل بوجھ سے نمٹنے کے قابل نہ ہو اور حملہ آوروں کا ہدف حاصل کر لیا جائے۔ ایسے معاملات کے لیے، ہم تجویز کرتے ہیں کہ آئی ڈی ایس کو ورچوئل سرور پر تعینات کیا جائے جس میں واضح طور پر زیادہ طاقتور انٹرنیٹ کنکشن ہو۔ آپ VPS کو VPN کے ذریعے مقامی نیٹ ورک سے جوڑ سکتے ہیں، اور پھر آپ کو اس کے ذریعے تمام بیرونی ٹریفک کی روٹنگ کو ترتیب دینے کی ضرورت ہوگی۔ پھر، DDoS حملے کی صورت میں، آپ کو فراہم کنندہ کو کنکشن کے ذریعے پیکٹ بھیجنے کی ضرورت نہیں ہوگی؛ وہ بیرونی نوڈ پر بلاک ہو جائیں گے۔
انتخاب کا مسئلہ۔
آزاد نظاموں کے درمیان لیڈر کی شناخت کرنا بہت مشکل ہے۔ IDS/IPS کا انتخاب نیٹ ورک ٹوپولوجی، مطلوبہ حفاظتی افعال کے ساتھ ساتھ منتظم کی ذاتی ترجیحات اور ترتیبات کے ساتھ ٹنکر کرنے کی خواہش سے طے ہوتا ہے۔ Snort ایک طویل تاریخ ہے اور بہتر دستاویزی ہے، اگرچہ Suricata پر معلومات آن لائن تلاش کرنا بھی آسان ہے۔ کسی بھی صورت میں، سسٹم میں مہارت حاصل کرنے کے لیے آپ کو کچھ کوششیں کرنی ہوں گی، جس کا نتیجہ آخرکار نکلے گا - کمرشل ہارڈویئر اور ہارڈویئر-سافٹ ویئر IDS/IPS کافی مہنگے ہیں اور ہمیشہ بجٹ میں فٹ نہیں ہوتے۔ وقت ضائع کرنے پر افسوس کرنے کا کوئی فائدہ نہیں ہے، کیونکہ ایک اچھا منتظم ہمیشہ آجر کی قیمت پر اپنی صلاحیتوں کو بہتر بناتا ہے۔ اس صورت حال میں، سب جیت جاتے ہیں. اگلے مضمون میں ہم Suricata کی تعیناتی کے کچھ اختیارات دیکھیں گے اور عملی طور پر کلاسک IDS/IPS Snort کے ساتھ زیادہ جدید نظام کا موازنہ کریں گے۔
ماخذ: www.habr.com