Bir vaqtlar oddiy xavfsizlik devori va antivirus dasturlari mahalliy tarmoqni himoya qilish uchun etarli edi, ammo bunday to'plam zamonaviy xakerlar hujumlari va so'nggi paytlarda ko'payib borayotgan zararli dasturlarga qarshi etarli darajada samarali emas. Yaxshi eski xavfsizlik devori faqat paket sarlavhalarini tahlil qiladi, ularga rasmiy qoidalar to'plamiga muvofiq ruxsat beradi yoki bloklaydi. U paketlarning mazmuni haqida hech narsa bilmaydi va shuning uchun tajovuzkorlarning qonuniy ko'rinadigan harakatlarini taniy olmaydi. Antivirus dasturlari har doim ham zararli dasturlarni ushlay olmaydi, shuning uchun administrator g'ayritabiiy faoliyatni kuzatish va zararlangan xostlarni o'z vaqtida izolyatsiya qilish vazifasiga duch keladi.
Kompaniyaning IT infratuzilmasini himoya qilish uchun ko'plab ilg'or vositalar mavjud. Bugun biz qimmatbaho uskunalar va dasturiy ta'minot litsenziyalarini sotib olmasdan amalga oshirilishi mumkin bo'lgan ochiq manbali kirishni aniqlash va oldini olish tizimlari haqida gaplashamiz.
IDS/IPS tasnifi
IDS (Intrusion Detection System) tarmoq yoki shaxsiy kompyuterda shubhali harakatlarni ro'yxatga olish uchun mo'ljallangan tizimdir. U hodisalar jurnallarini saqlaydi va ular haqida axborot xavfsizligi uchun mas'ul bo'lgan xodimni xabardor qiladi. IDSning bir qismi sifatida quyidagi elementlarni ajratish mumkin:
- tarmoq trafigini, turli jurnallarni va boshqalarni ko'rish uchun sensorlar.
- olingan ma'lumotlarga zararli ta'sir ko'rsatish belgilarini aniqlaydigan tahlil quyi tizimi;
- asosiy hodisalar va tahlil natijalarini to'plash uchun saqlash;
- boshqaruv konsoli.
Dastlab, IDS joylashuvi bo'yicha tasniflangan: ular alohida tugunlarni (xostga asoslangan yoki Xost hujumlarini aniqlash tizimi - HIDS) yoki butun korporativ tarmoqni himoya qilishga (tarmoqqa asoslangan yoki tarmoqqa kirishni aniqlash tizimi - NIDS) yo'naltirilgan bo'lishi mumkin. Bu deb atalmish narsani eslatib o'tish kerak APIDS (Ilova protokoliga asoslangan IDS): Ular maxsus hujumlarni aniqlash uchun cheklangan dastur darajasidagi protokollarni kuzatib boradi va tarmoq paketlarini chuqur tahlil qilmaydi. Bunday mahsulotlar odatda proksi-serverlarga o'xshaydi va ma'lum xizmatlarni himoya qilish uchun ishlatiladi: veb-server va veb-ilovalar (masalan, PHP-da yozilgan), ma'lumotlar bazasi serveri va boshqalar. Ushbu sinfning odatiy misoli Apache veb-server uchun mod_security.
Bizni ko'proq aloqa protokollari va DPI (Deep Packet Inspection) texnologiyalarini qo'llab-quvvatlaydigan universal NIDS qiziqtiradi. Ular ma'lumotlar havolasi qatlamidan boshlab barcha o'tayotgan trafikni kuzatib boradi va tarmoq hujumlarining keng doirasini, shuningdek, ma'lumotlarga ruxsatsiz kirishga urinishlarni aniqlaydi. Ko'pincha bunday tizimlar taqsimlangan arxitekturaga ega va turli xil faol tarmoq uskunalari bilan o'zaro aloqada bo'lishi mumkin. E'tibor bering, ko'plab zamonaviy NIDS gibrid va bir nechta yondashuvlarni birlashtiradi. Konfiguratsiya va sozlamalarga qarab, ular turli muammolarni hal qilishlari mumkin - masalan, bitta tugunni yoki butun tarmoqni himoya qilish. Bundan tashqari, ish stantsiyalari uchun IDS funktsiyalari antivirus paketlari tomonidan qabul qilindi, ular ma'lumotni o'g'irlashga qaratilgan troyanlarning tarqalishi tufayli shubhali trafikni aniqlash va blokirovka qilish muammolarini hal qiladigan ko'p funksiyali xavfsizlik devoriga aylandi.
Dastlab, IDS faqat zararli dasturlar faolligini, port skanerlarini yoki, aytaylik, foydalanuvchining korporativ xavfsizlik siyosatini buzishini aniqlay oladi. Muayyan voqea sodir bo'lganda, ular administratorga xabar berishdi, ammo hujumni tanib olishning o'zi etarli emasligi tezda ma'lum bo'ldi - uni blokirovka qilish kerak edi. Shunday qilib, IDS IPS (Intrusion Prevention Systems) ga aylantirildi - xavfsizlik devorlari bilan o'zaro aloqada bo'lishga qodir bo'lgan kirishni oldini olish tizimlari.
Aniqlash usullari
Zamonaviy hujumlarni aniqlash va oldini olish yechimlari zararli faoliyatni aniqlash uchun turli usullardan foydalanadi, ularni uchta toifaga bo'lish mumkin. Bu bizga tizimlarni tasniflashning yana bir variantini beradi:
- Imzoga asoslangan IDS/IPS trafikdagi naqshlarni aniqlaydi yoki tarmoq hujumi yoki infektsiyaga urinishni aniqlash uchun tizimlar holatidagi o'zgarishlarni kuzatadi. Ular amalda noto'g'ri va noto'g'ri pozitivlarni bermaydilar, lekin noma'lum tahdidlarni aniqlay olmaydilar;
- Anomaliyalarni aniqlaydigan IDSlar hujum imzolaridan foydalanmaydi. Ular axborot tizimlarining g'ayritabiiy xatti-harakatlarini (jumladan, tarmoq trafigidagi anomaliyalarni) tan oladi va hatto noma'lum hujumlarni ham aniqlay oladi. Bunday tizimlar juda ko'p noto'g'ri ijobiy natijalar beradi va agar noto'g'ri ishlatilsa, mahalliy tarmoqning ishlashini falaj qiladi;
- Qoidalarga asoslangan IDS printsipi asosida ishlaydi: agar FACT bo'lsa, HARAKAT. Aslini olganda, bu bilimlar bazasiga ega bo'lgan ekspert tizimlari - faktlar to'plami va mantiqiy xulosa chiqarish qoidalari. Bunday echimlar o'rnatish uchun ko'p mehnat talab qiladi va administratordan tarmoq haqida batafsil ma'lumotga ega bo'lishni talab qiladi.
IDSning rivojlanish tarixi
Internet va korporativ tarmoqlarning jadal rivojlanish davri o'tgan asrning 90-yillarida boshlangan, ammo mutaxassislar tarmoq xavfsizligining ilg'or texnologiyalaridan biroz oldinroq hayratda qolishgan. 1986-yilda Doroti Denning va Piter Neyman eng zamonaviy bosqinlarni aniqlash tizimlarining asosiga aylangan IDES (Intrusion detection expert system) modelini nashr etdilar. U ma'lum hujum turlarini, shuningdek, statistik usullar va foydalanuvchi/tizim profillarini aniqlash uchun ekspert tizimidan foydalangan. IDES tarmoq trafigini va dastur ma'lumotlarini tekshirib, Sun ish stantsiyalarida ishladi. 1993 yilda NIDES (Next-generation Intrusion Detection Expert System) chiqarildi - yangi avlod bosqinlarni aniqlash ekspert tizimi.
Denning va Neumannning ishlariga asoslanib, 1988 yilda P-BEST va LISP-dan foydalangan holda MIDAS (Multics intrusionlarni aniqlash va ogohlantirish tizimi) ekspert tizimi paydo bo'ldi. Shu bilan birga statistik usullarga asoslangan Haystack tizimi yaratildi. Yana bir statistik anomaliya detektori W&S (Wisdom & Sense) bir yildan so'ng Los Alamos milliy laboratoriyasida ishlab chiqilgan. Sanoat jadal sur'atlar bilan rivojlandi. Misol uchun, 1990 yilda TIM (Vaqtga asoslangan induktiv mashina) tizimi ketma-ket foydalanuvchi naqshlari (Common LISP tili) bo'yicha induktiv o'rganish yordamida anomaliyalarni aniqlashni allaqachon amalga oshirdi. NSM (Network Security Monitor) anomaliyalarni aniqlash uchun kirish matritsalarini solishtirdi va ISOA (Axborot xavfsizligi bo'yicha mutaxassis yordamchisi) turli aniqlash strategiyalarini qo'llab-quvvatladi: statistik usullar, profilni tekshirish va ekspert tizimi. AT&T Bell Labs-da yaratilgan ComputerWatch tizimi tekshirish uchun statistik usullar va qoidalardan foydalangan va Kaliforniya universiteti ishlab chiquvchilari 1991 yilda tarqatilgan IDS ning birinchi prototipini olishgan - DIDS (Distributed Intrusion Detection System) ham ekspert tizimi edi.
Avvaliga IDS xususiy edi, ammo 1998 yilda Milliy laboratoriya mavjud edi. Lourens Berkli libpcap ma'lumotlarini tahlil qilish uchun xususiy qoidalar tilidan foydalanadigan ochiq kodli tizim Bro (2018 yilda Zeek nomi o'zgartirildi) ni chiqardi. O'sha yilning noyabr oyida libpcap yordamida APE paketli sniffer paydo bo'ldi, bir oydan so'ng u Snort deb o'zgartirildi va keyinchalik to'liq huquqli IDS/IPSga aylandi. Shu bilan birga, ko'plab xususiy echimlar paydo bo'la boshladi.
Snort va Surikata
Ko'pgina kompaniyalar bepul va ochiq kodli IDS/IPS-ni afzal ko'rishadi. Uzoq vaqt davomida yuqorida aytib o'tilgan Snort standart echim deb hisoblangan, ammo endi u Suricata tizimi bilan almashtirildi. Keling, ularning afzalliklari va kamchiliklarini biroz batafsilroq ko'rib chiqaylik. Snort imzoga asoslangan usulning afzalliklarini real vaqtda anomaliyalarni aniqlash qobiliyatini birlashtiradi. Suricata, shuningdek, imzolar orqali hujumlarni tanib olishdan tashqari, boshqa usullardan ham foydalanishga imkon beradi. Tizim Snort loyihasidan ajratilgan ishlab chiquvchilar guruhi tomonidan yaratilgan va 1.4 versiyasidan boshlab IPS funktsiyalarini qo'llab-quvvatlaydi va Snort keyinroq bosqinlarning oldini olish qobiliyatini taqdim etdi.
Ikki mashhur mahsulot o'rtasidagi asosiy farq - Suricata'ning IDS rejimida GPU hisoblashidan foydalanish qobiliyati, shuningdek, yanada rivojlangan IPS. Tizim dastlab ko'p tarmoqli o'tkazish uchun mo'ljallangan, Snort esa bir tishli mahsulotdir. O'zining uzoq tarixi va eski kodi tufayli u ko'p protsessorli/ko'p yadroli apparat platformalaridan optimal tarzda foydalanmaydi, Suricata esa oddiy umumiy maqsadli kompyuterlarda 10 Gbit/s gacha trafikni boshqara oladi. Ikki tizim o'rtasidagi o'xshashlik va farqlar haqida uzoq vaqt gapirishimiz mumkin, ammo Suricata dvigateli tezroq ishlayotgan bo'lsa-da, juda keng bo'lmagan kanallar uchun bu fundamental ahamiyatga ega emas.
Joylashtirish imkoniyatlari
IPS tizim o'z nazorati ostidagi tarmoq segmentlarini kuzatishi mumkin bo'lgan tarzda joylashtirilishi kerak. Ko'pincha, bu maxsus kompyuter bo'lib, uning interfeysi chekka qurilmalardan keyin ulanadi va ular orqali himoyalanmagan umumiy tarmoqlarga (Internet) "ko'rinadi". Boshqa IPS interfeysi himoyalangan segmentning kirishiga ulanadi, shunda barcha trafik tizim orqali o'tadi va tahlil qilinadi. Keyinchalik murakkab holatlarda bir nechta himoyalangan segmentlar bo'lishi mumkin: masalan, korporativ tarmoqlarda demilitarizatsiya zonasi (DMZ) ko'pincha Internetdan foydalanish mumkin bo'lgan xizmatlar bilan ajratiladi.
Bunday IPS portni skanerlash yoki parolni qo'pol kuch hujumlarini, pochta serveri, veb-server yoki skriptlardagi zaifliklardan foydalanishni, shuningdek, boshqa turdagi tashqi hujumlarni oldini oladi. Mahalliy tarmoqdagi kompyuterlar zararli dastur bilan zararlangan bo'lsa, IDS ularga tashqarida joylashgan botnet serverlari bilan bog'lanishga ruxsat bermaydi. Ichki tarmoqni jiddiyroq himoya qilish uchun, ehtimol, portlardan biriga ulangan IDS interfeysi uchun trafikni aks ettirishga qodir bo'lgan taqsimlangan tizim va qimmat boshqariladigan kalitlarga ega murakkab konfiguratsiya talab qilinadi.
Korporativ tarmoqlar ko'pincha xizmat ko'rsatishni rad etish (DDoS) hujumlariga duchor bo'ladi. Zamonaviy IDS ular bilan shug'ullanishi mumkin bo'lsa-da, yuqoridagi joylashtirish opsiyasi bu erda yordam berishi dargumon. Tizim zararli faoliyatni tan oladi va soxta trafikni bloklaydi, ammo buning uchun paketlar tashqi Internet ulanishi orqali o'tishi va uning tarmoq interfeysiga kirishi kerak. Hujumning intensivligiga qarab, ma'lumotlarni uzatish kanali yukni engishga qodir emas va hujumchilarning maqsadiga erishiladi. Bunday hollarda biz IDS-ni yanada kuchliroq Internet aloqasi bo'lgan virtual serverda joylashtirishni tavsiya qilamiz. VPS-ni mahalliy tarmoqqa VPN orqali ulashingiz mumkin, so'ngra u orqali barcha tashqi trafikning marshrutini sozlashingiz kerak bo'ladi. Keyin, DDoS hujumi sodir bo'lgan taqdirda, siz provayderga ulanish orqali paketlarni yuborishingiz shart emas, ular tashqi tugunda bloklanadi.
Tanlash muammoni
Erkin tizimlar orasida etakchini aniqlash juda qiyin. IDS/IPS ni tanlash tarmoq topologiyasi, talab qilinadigan xavfsizlik funktsiyalari, shuningdek, ma'murning shaxsiy imtiyozlari va sozlamalar bilan ishlash istagi bilan belgilanadi. Snort uzoqroq tarixga ega va yaxshiroq hujjatlashtirilgan, ammo Suricata haqidagi ma'lumotni Internetda topish oson. Qanday bo'lmasin, tizimni o'zlashtirish uchun siz biroz harakat qilishingiz kerak bo'ladi, bu oxir-oqibat o'z samarasini beradi - tijorat apparati va apparat-dasturiy ta'minoti IDS/IPS ancha qimmat va har doim ham byudjetga to'g'ri kelmaydi. Ketgan vaqtdan afsuslanishdan foyda yo'q, chunki yaxshi admin har doim ish beruvchi hisobidan o'z malakasini oshiradi. Bunday vaziyatda hamma g'alaba qozonadi. Keyingi maqolada biz Suricata-ni joylashtirishning ba'zi variantlarini ko'rib chiqamiz va amalda klassik IDS/IPS Snort bilan zamonaviyroq tizimni solishtiramiz.
Manba: www.habr.com