IDS systeemid - Sissejuhatus
Sissejuhatus
IDS ehk sissetungi tuvastuse süsteem on tehnoloogiline lahendus arvutivõrgu monitoorimiseks infoturbe tagamise eesmärgil. IDS lahendusi võib jagada kahte suurde gruppi: NIDS - Network intrusion detection system ehk võrgu põhine sissetungi tuvastuse süsteem HIDS - Host based intrusion detection system ehk seadme põhine sissetungi tuvastuse süsteem
HIDS
HIDS lahendused on vähem levinud kuid viimasel ajal on mõned antiviiruse tarkvarad hakanud seda ühe komponendinda kasutama. Avatud lähtekoodiga lahendustest on üks levinumaid OSSEC. HIDS lahenduste eesmärgiks on teatud kriitiliste süsteemi osade jälgimine. Nende hulka kuuluvad näiteks “RunOnce” registrivõtmed Windowsi puhul ja erinevad ajutiste failide kaustad ehk populaarsed kohad kas pahavara failide hoidmiseks või püsivuse tagamiseks. OSSEC puhul on võimalik defineerida poliitikad, et milliseid faile, kaustu ja registri võtmeid jälgida Käesoleva kursuse raamidest jääb nende lahenduste lähem tutvustus välja.
NIDS
Tüüpiliselt mõeldakse tavakasutuses IDS lahenduste all just NIDS tüüpi lahendusi. Populaarsemate näidetena võib välja tuua Snort, Suricata ja Bro. Kursuse raames käib teoreetiline ja praktiline materjal Suricata kohta ning lihtsuse mõttes on edaspidi väljendi IDS all mõeldud just Suricatat ehk NIDS tüüpi lahendust.
IDS jälgib võrgusegmenti. Selleks suunatakse koopia võrguliiklusest mille iga paketti IDS analüüsib paketi haaval reeglite kogumiku vastu. Leides vaste väljastatakse selle kohta vastav teade.
IPS ehk intrusion prevention system(sissetungi takistuse režiim) on spetsiaalne konfiguratsioon IDS puhul, kus võrguliiklust mitte ei kopeerita vaid suunatakse läbi lahenduse ehk ta täidab võrgulüüsi rolli. Nagu ka IDS puhul analüüsitakse kõigi pakettide päist ja sisu. Erinevuseks IDS tekib võimalus paketi vahelt ära korjata (drop packet). Tüüpiliselt on juurutatud kommutaatori või ruuterina, vahest ka tarkvara moodulina serveris.
Kuigi puhas IDS lahendus ei suuda automaatselt võrku kaitsta, lisatakse IDS lahendustele vahest
Miks IDS kasutada?
Tulemüürid on efektiivsed võrguliikluse filtreerimises, NAT ja liikluse suunamises. Tulemüürid aga teevad filtreerimise otsuseid ainult paketi päise puhul ehk kust IP ja pordi pealt tuleb ja kuhu IP ja pordi peale läheb.
IDS/IPS lahenduste puhul aga analüüsitakse ka paketi sisu. Ühesõnaga tulemüür lubaks paketi liikumise aga IDS/IPS näeks, et paketi sisus on midagi pahatahtliku.
Paigutamine
Sõltuvalt asutuse suurusest ja nõutavast turvatasemest on taristus üks või mitu sensorit ja tihti ka keskkonsool. Kui pakett vastab reeglile, saadetakse keskkonsooli või otse administraatorile teade. Paketi sisu tavaliselt logitakse.
Kõige populaarsemad kohad kuhu IDS paigutada on: Perimeeter ehk tulemüürist sisse- või väljapoole, serverite võrgusegmendi ette ning suuremate võrkude puhul ka erinevate võrgusegmentide ette.
Kuidas võrgu jälgimine toimub
- IDS ühendatakse võrguseadme seire liidesesse (aka monitoring interface, port mirroring jne.) ehk kõik seadet läbivad paketid kopeeritakse sinna liidesesse.
- Kasutatakse hubi. Palju neid tänapäeval ei kohta ning juhul kui kogu liiklus peab sealt läbi käima, siis võib tekkida probleeme jõudlusega. Kasulik juhul kui on vaja ühte seire liidest paljundada.
- Võrguharund(network tap) paigaldatakse huvi pakkuva liini külge ja IDS ühendatakse võrguharundi külge.
- Virtuaalkeskkondades kasutatakse ka SPAN tüüpi võrgu seadistust. VMWare keskkonnas tähendab see näiteks võrguliidese liitmist VLAN-i mille ID on 4096. VIrtualBoxi puhul piisab virtuaalmasina võrguliidese seadmisest valimatusse režiimi.
IDS jaoks seadistatakse seadmele üks võrguliides valimatus(promiscuous) režiimis. Selle võrguliidese vastu suunatakse ka kogu võrgu liiklus. Sellises režiimis võrgu liides võtab valimatult vastu kõik paketid mis talle jälgitavad on. Seega kui liiklus peegeldatakse kommutaatorist on ka IDSile jälgitav kogu liiklus mis ka kommutaatorile.
Suricata protsess käivitatakse parameetriga mis deklareerib millise pordi pealt tulevat liiklust peab kuulama. Selleks on -i parameeter, näiteks suricata -c /etc/suricata/suricata.yaml -i eth1
Sokli tüüp
IDS on võimalik seadistada kasutama kolme erinevat sokli tüüpi (järjestatud jõudluse järgi):
- pcap
- af_packet
- pf_ring
Väiksema koormusega võrguliikluse sõlmes piisab pcap sokkli kasutamisest. Sellisel juhul eraldi seadistamist teha ei ole vaja. Suurte koormuste puhul on mõistlik seadistada Suricata kasutama pf_ring tüüpi võrgu soklit.