Ngày xửa ngày xưa, một chương trình tường lửa và chống vi-rút thông thường là đủ để bảo vệ mạng cục bộ, nhưng một bộ như vậy không còn đủ hiệu quả trước các cuộc tấn công của tin tặc hiện đại và phần mềm độc hại phổ biến gần đây. Tường lửa cũ chỉ phân tích các tiêu đề gói, chuyển hoặc chặn chúng theo một bộ quy tắc chính thức. Nó không biết gì về nội dung của các gói và do đó không thể nhận ra hành động hợp pháp bên ngoài của những kẻ xâm nhập. Các chương trình chống vi-rút không phải lúc nào cũng phát hiện được phần mềm độc hại, vì vậy quản trị viên phải đối mặt với nhiệm vụ giám sát hoạt động bất thường và cách ly kịp thời các máy chủ bị nhiễm.
Có nhiều công cụ tiên tiến cho phép bạn bảo vệ cơ sở hạ tầng CNTT của công ty. Hôm nay chúng ta sẽ nói về các hệ thống ngăn chặn và phát hiện xâm nhập nguồn mở có thể được triển khai mà không cần mua giấy phép phần cứng và phần mềm đắt tiền.
Phân loại IDS/IPS
IDS (Hệ thống phát hiện xâm nhập) là một hệ thống được thiết kế để đăng ký các hoạt động đáng ngờ trên mạng hoặc trên một máy tính riêng biệt. Nó duy trì nhật ký sự kiện và thông báo cho người chịu trách nhiệm bảo mật thông tin về chúng. IDS bao gồm các thành phần sau:
- cảm biến để xem lưu lượng mạng, các nhật ký khác nhau, v.v.
- một hệ thống con phân tích phát hiện các dấu hiệu tác động có hại trong dữ liệu nhận được;
- lưu trữ để tích lũy các sự kiện chính và kết quả phân tích;
- Bảng điều khiển quản lý.
Ban đầu, IDS được phân loại theo vị trí: chúng có thể tập trung vào việc bảo vệ các nút riêng lẻ (Hệ thống phát hiện xâm nhập máy chủ hoặc dựa trên máy chủ - HIDS) hoặc bảo vệ toàn bộ mạng công ty (Hệ thống phát hiện xâm nhập mạng hoặc dựa trên mạng - NIDS). Điều đáng nói đến cái gọi là. APIDS (IDS dựa trên giao thức ứng dụng): Chúng giám sát một bộ giao thức lớp ứng dụng giới hạn để phát hiện các cuộc tấn công cụ thể và không phân tích sâu các gói mạng. Các sản phẩm như vậy thường giống với proxy và được sử dụng để bảo vệ các dịch vụ cụ thể: máy chủ web và ứng dụng web (ví dụ: được viết bằng PHP), máy chủ cơ sở dữ liệu, v.v. Đại diện điển hình của lớp này là mod_security cho máy chủ web Apache.
Chúng tôi quan tâm nhiều hơn đến NIDS phổ quát hỗ trợ nhiều giao thức truyền thông và công nghệ phân tích gói PPI (Kiểm tra gói sâu). Chúng giám sát tất cả lưu lượng truy cập đi qua, bắt đầu từ lớp liên kết dữ liệu và phát hiện một loạt các cuộc tấn công mạng cũng như truy cập thông tin trái phép. Thông thường các hệ thống như vậy có kiến trúc phân tán và có thể tương tác với nhiều thiết bị mạng đang hoạt động khác nhau. Lưu ý rằng nhiều NIDS hiện đại là sự kết hợp và kết hợp nhiều phương pháp tiếp cận. Tùy thuộc vào cấu hình và cài đặt, chúng có thể giải quyết nhiều vấn đề khác nhau - ví dụ: bảo vệ một nút hoặc toàn bộ mạng. Ngoài ra, các chức năng IDS cho máy trạm đã bị các gói chống vi-rút đảm nhận, do sự phát tán của Trojan nhằm mục đích đánh cắp thông tin, đã biến thành tường lửa đa chức năng cũng giải quyết các nhiệm vụ nhận dạng và chặn lưu lượng truy cập đáng ngờ.
Ban đầu, IDS chỉ có thể phát hiện hoạt động của phần mềm độc hại, trình quét cổng hoặc giả sử người dùng vi phạm chính sách bảo mật của công ty. Khi một sự kiện nào đó xảy ra, họ đã thông báo cho quản trị viên, nhưng mọi chuyện nhanh chóng trở nên rõ ràng rằng chỉ nhận ra cuộc tấn công là chưa đủ - nó cần phải bị chặn. Vì vậy IDS chuyển thành IPS (Intrusion Prevention Systems) - hệ thống ngăn chặn xâm nhập có thể tương tác với tường lửa.
Phương pháp phát hiện
Các giải pháp ngăn chặn và phát hiện xâm nhập hiện đại sử dụng nhiều phương pháp khác nhau để phát hiện hoạt động độc hại, có thể chia thành ba loại. Điều này cho chúng ta một lựa chọn khác để phân loại hệ thống:
- IDS/IPS dựa trên chữ ký tìm kiếm các mẫu lưu lượng truy cập hoặc giám sát các thay đổi trạng thái hệ thống để phát hiện nỗ lực tấn công hoặc lây nhiễm mạng. Thực tế, chúng không gây ra sai sót và dương tính giả, nhưng không thể xác định các mối đe dọa chưa xác định;
- IDS phát hiện bất thường không sử dụng dấu hiệu tấn công. Chúng nhận ra hành vi bất thường của hệ thống thông tin (bao gồm cả những bất thường trong lưu lượng mạng) và có thể phát hiện cả những cuộc tấn công chưa xác định. Những hệ thống như vậy đưa ra khá nhiều kết quả dương tính giả và nếu sử dụng không đúng cách sẽ làm tê liệt hoạt động của mạng cục bộ;
- IDS dựa trên quy tắc hoạt động như sau: nếu SỰ THẬT thì HÀNH ĐỘNG. Trên thực tế, đây là những hệ chuyên gia có cơ sở tri thức - một tập hợp các sự kiện và quy tắc suy luận. Các giải pháp như vậy tốn nhiều thời gian để thiết lập và yêu cầu quản trị viên phải hiểu biết chi tiết về mạng.
Lịch sử phát triển IDS
Kỷ nguyên phát triển nhanh chóng của Internet và mạng doanh nghiệp bắt đầu từ những năm 90 của thế kỷ trước, tuy nhiên, các chuyên gia đã bối rối trước các công nghệ an ninh mạng tiên tiến sớm hơn một chút. Năm 1986, Dorothy Denning và Peter Neumann xuất bản mô hình IDES (Hệ thống chuyên gia phát hiện xâm nhập), trở thành nền tảng của hầu hết các hệ thống phát hiện xâm nhập hiện đại. Cô đã sử dụng một hệ thống chuyên gia để xác định các cuộc tấn công đã biết cũng như các phương pháp thống kê và hồ sơ người dùng/hệ thống. IDES chạy trên máy trạm Sun, kiểm tra lưu lượng mạng và dữ liệu ứng dụng. Năm 1993, NIDES (Hệ thống chuyên gia phát hiện xâm nhập thế hệ tiếp theo) được ra mắt - hệ thống chuyên gia phát hiện xâm nhập thế hệ mới.
Dựa trên công trình của Denning và Neumann, hệ thống chuyên gia MIDAS (Hệ thống cảnh báo và phát hiện xâm nhập Multics) xuất hiện vào năm 1988, sử dụng P-BEST và LISP. Đồng thời, hệ thống Haystack dựa trên phương pháp thống kê được tạo ra. Một máy dò bất thường thống kê khác, W&S (Wisdom & Sense), được phát triển một năm sau đó tại Phòng thí nghiệm quốc gia Los Alamos. Sự phát triển của ngành công nghiệp diễn ra với tốc độ nhanh chóng. Ví dụ, vào năm 1990, việc phát hiện bất thường đã được triển khai trong hệ thống TIM (Máy cảm ứng dựa trên thời gian) bằng cách sử dụng phương pháp học quy nạp trên các mẫu người dùng tuần tự (ngôn ngữ LISP thông dụng). NSM (Giám sát an ninh mạng) đã so sánh các ma trận truy cập để phát hiện sự bất thường và ISOA (Trợ lý nhân viên an ninh thông tin) đã hỗ trợ các chiến lược phát hiện khác nhau: phương pháp thống kê, kiểm tra hồ sơ và hệ thống chuyên gia. Hệ thống ComputerWatch được tạo tại AT&T Bell Labs đã sử dụng cả phương pháp thống kê và quy tắc để xác minh và các nhà phát triển của Đại học California đã nhận được nguyên mẫu đầu tiên của IDS phân tán vào năm 1991 - DIDS (Hệ thống phát hiện xâm nhập phân tán) cũng là một chuyên gia hệ thống.
Lúc đầu, IDS là độc quyền, nhưng đến năm 1998, Phòng thí nghiệm Quốc gia mới có quyền sở hữu. Lawrence tại Berkeley đã phát hành Bro (được đổi tên thành Zeek vào năm 2018), một hệ thống nguồn mở sử dụng ngôn ngữ quy tắc riêng để phân tích dữ liệu libpcap. Vào tháng XNUMX cùng năm, trình thám thính gói APE sử dụng libpcap xuất hiện, một tháng sau được đổi tên thành Snort và sau đó trở thành IDS / IPS chính thức. Đồng thời, nhiều giải pháp độc quyền bắt đầu xuất hiện.
Khịt mũi và Suricata
Nhiều công ty thích IDS/IPS nguồn mở và miễn phí. Trong một thời gian dài, Snort đã được đề cập được coi là giải pháp tiêu chuẩn, nhưng giờ đây nó đã được thay thế bằng hệ thống Suricata. Hãy xem xét ưu điểm và nhược điểm của chúng chi tiết hơn một chút. Snort kết hợp những ưu điểm của phương pháp chữ ký với khả năng phát hiện sự bất thường trong thời gian thực. Suricata còn cho phép các phương pháp khác ngoài việc phát hiện dấu hiệu tấn công. Hệ thống được tạo ra bởi một nhóm các nhà phát triển tách ra khỏi dự án Snort và hỗ trợ các tính năng IPS kể từ phiên bản 1.4, trong khi tính năng ngăn chặn xâm nhập xuất hiện trong Snort sau này.
Sự khác biệt chính giữa hai sản phẩm phổ biến là khả năng sử dụng GPU cho tính toán IDS của Suricata cũng như IPS tiên tiến hơn. Hệ thống ban đầu được thiết kế cho đa luồng, trong khi Snort là sản phẩm đơn luồng. Do lịch sử lâu dài và mã kế thừa, nó không tận dụng tối ưu nền tảng phần cứng đa bộ xử lý/đa lõi, trong khi Suricata có thể xử lý lưu lượng lên tới 10 Gbps trên các máy tính đa năng thông thường. Bạn có thể nói về những điểm tương đồng và khác biệt giữa hai hệ thống trong một thời gian dài, nhưng mặc dù động cơ Suricata hoạt động nhanh hơn nhưng đối với các kênh không quá rộng thì điều đó không thành vấn đề.
Tùy chọn triển khai
IPS phải được đặt sao cho hệ thống có thể giám sát các phân đoạn mạng dưới sự kiểm soát của nó. Thông thường, đây là một máy tính chuyên dụng, một giao diện của nó kết nối sau các thiết bị biên và “nhìn” qua chúng với các mạng công cộng không bảo mật (Internet). Một giao diện IPS khác được kết nối với đầu vào của phân đoạn được bảo vệ để tất cả lưu lượng truy cập đi qua hệ thống và được phân tích. Trong các trường hợp phức tạp hơn, có thể có một số phân đoạn được bảo vệ: ví dụ: trong mạng công ty, khu phi quân sự (DMZ) thường được phân bổ với các dịch vụ có thể truy cập từ Internet.
IPS như vậy có thể ngăn chặn việc quét cổng hoặc tấn công vũ phu, khai thác các lỗ hổng trong máy chủ thư, máy chủ web hoặc tập lệnh cũng như các loại tấn công bên ngoài khác. Nếu các máy tính trong mạng cục bộ bị nhiễm phần mềm độc hại, IDS sẽ không cho phép chúng liên lạc với các máy chủ botnet đặt bên ngoài. Việc bảo vệ mạng nội bộ nghiêm túc hơn rất có thể sẽ yêu cầu một cấu hình phức tạp với hệ thống phân tán và các thiết bị chuyển mạch được quản lý đắt tiền có khả năng phản ánh lưu lượng truy cập cho giao diện IDS được kết nối với một trong các cổng.
Thông thường, các mạng công ty là đối tượng của các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Mặc dù các IDS hiện đại có thể giải quyết được chúng nhưng tùy chọn triển khai ở trên không giúp ích được gì nhiều ở đây. Hệ thống nhận ra hoạt động độc hại và chặn lưu lượng giả, nhưng để làm được điều này, các gói phải đi qua kết nối Internet bên ngoài và đến giao diện mạng của nó. Tùy thuộc vào cường độ của cuộc tấn công, kênh truyền dữ liệu có thể không đáp ứng được tải và mục tiêu của những kẻ tấn công sẽ đạt được. Đối với những trường hợp như vậy, chúng tôi khuyên bạn nên triển khai IDS trên máy chủ ảo có kết nối Internet tốt hơn. Bạn có thể kết nối VPS với mạng cục bộ thông qua VPN và sau đó bạn sẽ cần định cấu hình định tuyến cho tất cả lưu lượng truy cập bên ngoài thông qua nó. Sau đó, trong trường hợp bị tấn công DDoS, bạn sẽ không phải điều khiển các gói thông qua kết nối đến nhà cung cấp, chúng sẽ bị chặn trên máy chủ bên ngoài.
Vấn đề lựa chọn
Rất khó để xác định người dẫn đầu trong số các hệ thống tự do. Việc lựa chọn IDS / IPS được xác định bởi cấu trúc liên kết mạng, các chức năng bảo vệ cần thiết, cũng như sở thích cá nhân của quản trị viên và mong muốn tìm hiểu các cài đặt của anh ta. Snort có lịch sử lâu đời hơn và được ghi chép đầy đủ hơn, mặc dù thông tin về Suricata cũng dễ dàng tìm thấy trên mạng. Trong mọi trường hợp, để làm chủ hệ thống, bạn sẽ phải thực hiện một số nỗ lực, điều này cuối cùng sẽ được đền đáp - phần cứng thương mại và phần cứng-phần mềm IDS / IPS khá đắt và không phải lúc nào cũng phù hợp với túi tiền. Bạn không nên tiếc thời gian đã bỏ ra, bởi vì một quản trị viên giỏi luôn nâng cao trình độ của mình với cái giá phải trả của người sử dụng lao động. Trong tình huống này, mọi người đều thắng. Trong bài viết tiếp theo, chúng ta sẽ xem xét một số tùy chọn để triển khai Suricata và so sánh hệ thống hiện đại hơn với IDS/IPS Snort cổ điển trong thực tế.
Nguồn: www.habr.com