曾几何时,普通的防火墙和防病毒程序足以保护本地网络,但这样的一套已经不足以有效抵御现代黑客和最近激增的恶意软件的攻击。 好的旧防火墙仅分析数据包标头,根据一组正式规则传递或阻止它们。 它对包裹的内容一无所知,因此无法识别入侵者表面上合法的行为。 防病毒程序并不总能捕获恶意软件,因此管理员面临着监控异常活动并及时隔离受感染主机的任务。
有许多高级工具可让您保护公司的 IT 基础设施。 今天我们将讨论无需购买昂贵的硬件和软件许可证即可实施的开源入侵检测和防御系统。
IDS/IPS分类
IDS(入侵检测系统)是一个旨在记录网络或单独计算机上的可疑活动的系统。 它维护事件日志并通知负责信息安全的人员。 IDS 包括以下元素:
- 用于查看网络流量、各种日志等的传感器
- 分析子系统,用于检测接收到的数据中有害影响的迹象;
- 存储主要事件和分析结果的累积;
- 管理控制台。
最初,IDS 按位置进行分类:它们可以专注于保护单个节点(基于主机的或主机入侵检测系统 - HIDS)或保护整个企业网络(基于网络的或网络入侵检测系统 - NIDS)。 值得一提的是所谓的。 APIDS(基于应用协议的IDS):它们监视一组有限的应用层协议以检测特定攻击,并且不深入分析网络数据包。 此类产品通常类似于代理,用于保护特定服务:Web 服务器和 Web 应用程序(例如,用 PHP 编写)、数据库服务器等。 此类的典型代表是 Apache Web 服务器的 mod_security。
我们更感兴趣的是支持多种通信协议和DPI(深度数据包检查)数据包分析技术的通用NIDS。 它们从数据链路层开始监控所有通过的流量,并检测各种网络攻击以及未经授权的信息访问。 通常,此类系统具有分布式架构,并且可以与各种有源网络设备交互。 请注意,许多现代 NIDS 都是混合型的,结合了多种方法。 根据配置和设置,它们可以解决各种问题 - 例如,保护一个节点或整个网络。 此外,工作站IDS的功能被防病毒软件包接管,由于旨在窃取信息的木马的传播,防病毒软件包变成了多功能防火墙,也解决了识别和阻止可疑流量的任务。
最初,IDS 只能检测恶意软件活动、端口扫描程序,或者用户违反公司安全策略的行为。 当某个事件发生时,他们通知了管理员,但很快就发现,仅仅识别攻击是不够的 - 需要阻止它。 于是IDS转变为IPS(Intrusion Prevention Systems)——可以与防火墙交互的入侵防御系统。
检测方法
现代入侵检测和防御解决方案使用各种方法来检测恶意活动,可分为三类。 这为我们提供了另一种对系统进行分类的选择:
- 基于签名的 IDS/IPS 寻找流量模式或监视系统状态变化以检测网络攻击或感染尝试。 它们实际上不会给出误报和误报,但无法识别未知威胁;
- 异常检测 IDS 不使用攻击特征码。 它们识别信息系统的异常行为(包括网络流量异常),甚至可以检测未知的攻击。 此类系统会产生大量误报,如果使用不当,会导致本地网络的运行瘫痪;
- 基于规则的 IDS 的工作原理如下:如果事实,则行动。 事实上,这些是具有知识库(一组事实和推理规则)的专家系统。 此类解决方案的设置非常耗时,并且需要管理员对网络有详细的了解。
IDS发展史
互联网和企业网络快速发展的时代始于上世纪90年代,然而专家们对先进的网络安全技术感到困惑的时间却更早一些。 1986年,Dorothy Denning和Peter Neumann发表了IDES模型(入侵检测专家系统),该模型成为大多数现代入侵检测系统的基础。 她使用专家系统来识别已知的攻击,以及统计方法和用户/系统配置文件。 IDES 在 Sun 工作站上运行,检查网络流量和应用程序数据。 1993年,NIDES(Next Generation Intrusion Inspection Expert System)发布——新一代入侵检测专家系统。
基于 Denning 和 Neumann 的工作,MIDAS(Multics 入侵检测和警报系统)专家系统于 1988 年出现,使用 P-BEST 和 LISP。 同时创建了基于统计方法的Haystack系统。 一年后,洛斯阿拉莫斯国家实验室开发出了另一种统计异常检测器 W&S(Wisdom & Sense)。 行业快速发展。 例如,1990 年,异常检测已经在 TIM(基于时间的归纳机)系统中使用对顺序用户模式(通用 LISP 语言)的归纳学习来实现。 NSM(网络安全监视器)比较访问矩阵以进行异常检测,ISOA(信息安全官员助理)支持各种检测策略:统计方法、配置文件检查和专家系统。 AT&T贝尔实验室创建的ComputerWatch系统同时使用统计方法和规则进行验证,加州大学的开发者早在1991年就收到了第一个分布式IDS原型——DIDS(分布式入侵检测系统)也是专家系统。
起初,IDS 是专有的,但在 1998 年已经是国家实验室专有的。 伯克利大学的 Lawrence 发布了 Bro(2018 年更名为 Zeek),这是一个开源系统,使用自己的规则语言来解析 libpcap 数据。 同年XNUMX月,使用libpcap的APE数据包嗅探器出现,一个月后更名为Snort,后来成为成熟的IDS/IPS。 与此同时,众多专有解决方案开始出现。
鼻息和苏里卡塔
许多公司更喜欢免费和开源的 IDS/IPS。 长期以来,已经提到的 Snort 被认为是标准解决方案,但现在它已被 Suricata 系统取代。 更详细地考虑它们的优点和缺点。 Snort 结合了签名方法的优点和实时检测异常的能力。 Suricata 还允许除攻击特征检测之外的其他方法。 该系统是由一群从Snort项目中分离出来的开发人员创建的,从1.4版本开始就支持IPS功能,而入侵防御则是后来在Snort中出现的。
这两款流行产品之间的主要区别在于Suricata能够使用GPU进行IDS计算,以及更先进的IPS。 该系统最初是为多线程设计的,而Snort是单线程产品。 由于其悠久的历史和遗留代码,它没有充分利用多处理器/多核硬件平台,而 Suricata 可以在普通通用计算机上处理高达 10 Gbps 的流量。 你可以长时间谈论两个系统之间的异同,但是虽然Suricata引擎运行速度更快,但对于不太宽的渠道来说这并不重要。
部署选项
IPS 的放置方式必须使系统能够监控其控制下的网段。 最常见的是,这是一台专用计算机,其一个接口连接在边缘设备之后,并通过它们“查看”不安全的公共网络(互联网)。 另一个 IPS 接口连接到受保护网段的输入,以便所有流量都通过系统并进行分析。 在更复杂的情况下,可能有多个受保护的部分:例如,在公司网络中,非军事区 (DMZ) 通常分配有可从 Internet 访问的服务。
这样的 IPS 可以防止端口扫描或暴力攻击、利用邮件服务器、Web 服务器或脚本中的漏洞以及其他类型的外部攻击。 如果本地网络上的计算机感染了恶意软件,IDS 将不允许它们联系位于外部的僵尸网络服务器。 对内部网络进行更严格的保护很可能需要采用分布式系统和昂贵的托管交换机进行复杂的配置,这些交换机能够镜像连接到端口之一的 IDS 接口的流量。
企业网络经常遭受分布式拒绝服务 (DDoS) 攻击。 尽管现代 IDS 可以处理它们,但上面的部署选项在这里没有什么帮助。 系统可以识别恶意活动并阻止虚假流量,但为此,数据包必须通过外部互联网连接并到达其网络接口。 根据攻击的强度,数据传输通道可能无法应对负载,从而达到攻击者的目的。 对于这种情况,我们建议在具有已知更好的 Internet 连接的虚拟服务器上部署 IDS。 您可以通过 VPN 将 VPS 连接到本地网络,然后您需要配置通过它的所有外部流量的路由。 然后,如果发生 DDoS 攻击,您将不必通过连接驱动数据包到提供商,它们将在外部主机上被阻止。
选择的问题
在自由系统中找出领导者是非常困难的。 IDS/IPS 的选择取决于网络拓扑、必要的安全功能以及管理员的个人偏好和他对设置的渴望。 Snort 的历史更悠久,文档也更完善,尽管 Suricata 的信息也很容易在网上找到。 无论如何,要掌握该系统,您必须付出一些努力,这最终会得到回报 - 商业硬件和硬件软件 IDS / IPS 相当昂贵,并且并不总是符合预算。 你不应该后悔所花费的时间,因为一个好的管理者总是以牺牲雇主为代价来提高他的资历。 在这种情况下,每个人都是赢家。 在下一篇文章中,我们将研究部署 Suricata 的一些选项,并在实践中将更现代的系统与经典的 IDS/IPS Snort 进行比较。
来源: habr.com