曾幾何時,普通的防火牆和防病毒程序足以保護本地網絡,但這樣的一套已經不足以有效抵禦現代黑客和最近激增的惡意軟件的攻擊。 好的舊防火牆僅分析數據包標頭,根據一組正式規則傳遞或阻止它們。 它對包裹的內容一無所知,因此無法識別入侵者表面上合法的行為。 防病毒程序並不總能捕獲惡意軟件,因此管理員面臨著監控異常活動並及時隔離受感染主機的任務。
有許多高級工具可讓您保護公司的 IT 基礎設施。 今天我們將討論無需購買昂貴的硬件和軟件許可證即可實施的開源入侵檢測和防禦系統。
IDS/IPS分類
IDS(入侵檢測系統)是一個旨在記錄網絡或單獨計算機上的可疑活動的系統。 它維護事件日誌並通知負責信息安全的人員。 IDS 包括以下元素:
- 用於查看網絡流量、各種日誌等的傳感器
- 分析子系統,用於檢測接收到的數據中有害影響的跡象;
- 存儲主要事件和分析結果的累積;
- 管理控制台。
最初,IDS 按位置進行分類:它們可以專注於保護單個節點(基於主機的或主機入侵檢測系統 - HIDS)或保護整個企業網絡(基於網絡的或網絡入侵檢測系統 - NIDS)。 值得一提的是所謂的。 APIDS(基於應用協議的IDS):它們監視一組有限的應用層協議以檢測特定攻擊,並且不深入分析網絡數據包。 此類產品通常類似於代理,用於保護特定服務:Web 服務器和 Web 應用程序(例如,用 PHP 編寫)、數據庫服務器等。 此類的典型代表是 Apache Web 服務器的 mod_security。
我們更感興趣的是支持多種通信協議和DPI(深度數據包檢查)數據包分析技術的通用NIDS。 它們從數據鏈路層開始監控所有通過的流量,並檢測各種網絡攻擊以及未經授權的信息訪問。 通常,此類系統具有分佈式架構,並且可以與各種有源網絡設備交互。 請注意,許多現代 NIDS 都是混合型的,結合了多種方法。 根據配置和設置,它們可以解決各種問題 - 例如,保護一個節點或整個網絡。 此外,工作站的IDS功能被防病毒軟件包接管,由於旨在竊取信息的木馬的傳播,防病毒軟件包變成了多功能防火牆,也解決了識別和阻止可疑流量的任務。
最初,IDS 只能檢測惡意軟件活動、端口掃描程序,或者用戶違反公司安全策略的行為。 當某個事件發生時,他們通知了管理員,但很快就發現,僅僅識別攻擊是不夠的 - 需要阻止它。 於是IDS轉變為IPS(Intrusion Prevention Systems)——可以與防火牆交互的入侵防禦系統。
檢測方法
現代入侵檢測和防禦解決方案使用各種方法來檢測惡意活動,可分為三類。 這為我們提供了另一種對系統進行分類的選擇:
- 基於簽名的 IDS/IPS 尋找流量模式或監視系統狀態變化以檢測網絡攻擊或感染嘗試。 它們實際上不會給出誤報和誤報,但無法識別未知威脅;
- 異常檢測 IDS 不使用攻擊特徵碼。 它們識別信息系統的異常行為(包括網絡流量異常),甚至可以檢測未知的攻擊。 此類系統會產生大量誤報,如果使用不當,會導致本地網絡的運行癱瘓;
- 基於規則的 IDS 的工作原理如下:如果事實,則行動。 事實上,這些是具有知識庫(一組事實和推理規則)的專家系統。 此類解決方案的設置非常耗時,並且需要管理員對網絡有詳細的了解。
IDS發展史
互聯網和企業網絡快速發展的時代始於上世紀90年代,然而專家們對先進的網絡安全技術感到困惑的時間卻更早一些。 1986年,Dorothy Denning和Peter Neumann發布了IDES(入侵檢測專家系統)模型,該模型成為大多數現代入侵檢測系統的基礎。 她使用專家系統來識別已知的攻擊,以及統計方法和用戶/系統配置文件。 IDES 在 Sun 工作站上運行,檢查網絡流量和應用程序數據。 1993年,NIDES(Next Generation Intrusion Inspection Expert System)發布——新一代入侵檢測專家系統。
基於 Denning 和 Neumann 的工作,MIDAS(Multics 入侵檢測和警報系統)專家系統於 1988 年出現,使用 P-BEST 和 LISP。 同時創建了基於統計方法的Haystack系統。 一年後,洛斯阿拉莫斯國家實驗室開發出了另一種統計異常檢測器 W&S(Wisdom & Sense)。 行業快速發展。 例如,1990 年,異常檢測已經在 TIM(基於時間的歸納機)系統中使用對順序用戶模式(通用 LISP 語言)的歸納學習來實現。 NSM(網絡安全監視器)比較訪問矩陣以進行異常檢測,ISOA(信息安全官員助理)支持各種檢測策略:統計方法、配置文件檢查和專家系統。 AT&T貝爾實驗室創建的ComputerWatch系統同時使用統計方法和規則進行驗證,加州大學的開發人員早在1991年就收到了第一個分佈式IDS原型——DIDS(分佈式入侵檢測系統)也是一個專家系統。
起初,IDS 是專有的,但在 1998 年已經是國家實驗室專有的。 伯克利大學的 Lawrence 發布了 Bro(2018 年更名為 Zeek),這是一個開源系統,使用自己的規則語言來解析 libpcap 數據。 同年XNUMX月,使用libpcap的APE數據包嗅探器出現,一個月後更名為Snort,後來成為成熟的IDS/IPS。 與此同時,眾多專有解決方案開始出現。
鼻息和蘇里卡塔
許多公司更喜歡免費和開源的 IDS/IPS。 長期以來,已經提到的 Snort 被認為是標準解決方案,但現在它已被 Suricata 系統取代。 更詳細地考慮它們的優點和缺點。 Snort 將簽名方法的優點與實時異常檢測結合起來。 Suricata 還允許除攻擊特徵檢測之外的其他方法。 該系統是由一群從Snort項目中分離出來的開發人員創建的,從1.4版本開始就支持IPS功能,而入侵防禦則是後來在Snort中出現的。
這兩款流行產品之間的主要區別在於Suricata能夠使用GPU進行IDS計算,以及更先進的IPS。 該系統最初是為多線程設計的,而Snort是單線程產品。 由於其悠久的歷史和遺留代碼,它沒有充分利用多處理器/多核硬件平台,而 Suricata 可以在普通通用計算機上處理高達 10 Gbps 的流量。 你可以長時間談論兩個系統之間的異同,但是雖然Suricata引擎運行速度更快,但對於不太寬的渠道來說這並不重要。
部署選項
IPS 的放置方式必須使系統能夠監控其控制下的網段。 最常見的是,這是一台專用計算機,其一個接口連接在邊緣設備之後,並通過它們“查看”不安全的公共網絡(互聯網)。 另一個 IPS 接口連接到受保護網段的輸入,以便所有流量都通過系統並進行分析。 在更複雜的情況下,可能有多個受保護的部分:例如,在公司網絡中,非軍事區 (DMZ) 通常分配有可從 Internet 訪問的服務。
這樣的 IPS 可以防止端口掃描或暴力攻擊、利用郵件服務器、Web 服務器或腳本中的漏洞以及其他類型的外部攻擊。 如果本地網絡上的計算機感染了惡意軟件,IDS 將不允許它們聯繫位於外部的殭屍網絡服務器。 對內部網絡進行更嚴格的保護很可能需要採用分佈式系統和昂貴的託管交換機進行複雜的配置,這些交換機能夠鏡像連接到端口之一的 IDS 接口的流量。
企業網絡經常遭受分佈式拒絕服務 (DDoS) 攻擊。 儘管現代 IDS 可以處理它們,但上面的部署選項在這裡沒有什麼幫助。 系統可以識別惡意活動並阻止虛假流量,但為此,數據包必須通過外部互聯網連接並到達其網絡接口。 根據攻擊的強度,數據傳輸通道可能無法應對負載,從而達到攻擊者的目的。 對於這種情況,我們建議在具有已知更好的互聯網連接的虛擬服務器上部署 IDS。 您可以通過 VPN 將 VPS 連接到本地網絡,然後您需要配置通過它的所有外部流量的路由。 然後,如果發生 DDoS 攻擊,您將不必通過連接驅動數據包到提供商,它們將在外部主機上被阻止。
選擇的問題
在自由系統中找出領導者是非常困難的。 IDS/IPS 的選擇取決於網絡拓撲、必要的保護功能以及管理員的個人喜好和他對設置的渴望。 Snort 的歷史更悠久,文檔也更完善,儘管 Suricata 的信息也很容易在網上找到。 無論如何,要掌握該系統,您必須付出一些努力,這最終會得到回報 - 商業硬件和硬件軟件 IDS / IPS 相當昂貴,並且並不總是符合預算。 你不應該後悔所花費的時間,因為一個好的管理者總是以犧牲雇主為代價來提高他的資歷。 在這種情況下,每個人都是贏家。 在下一篇文章中,我們將研究部署 Suricata 的一些選項,並在實踐中將更現代的系統與經典的 IDS/IPS Snort 進行比較。
來源: www.habr.com