Jak zbudować tani i dobry system wykrywania intruzów (IDS)?
5 października 2007 16:12
Kamil Folga
Sieciowe systemy wykrywania intruzów (IDS) są integralnym komponentem warstwowej strategii bezpieczeństwa IT. Komercyjne systemy IDS mogą być bardzo drogie. Z drugiej strony, implementacja darmowego oprogramowania IDS, może stanowić całkiem poważne wyzwanie. Udaje się jednak zbudować system IDS, bazując na darmowym oprogramowaniu w stosunkowo krótkim okresie czasu.
Celem tego artykułu nie jest dostarczenie instrukcji "krok po kroku", dotyczącej instalacji i konfiguracji IDS. Istnieje mnóstwo zasobów w sieci opisujących ten proces. Artykuł jest przeznaczony dla osób, które próbowały implementować darmowy system IDS, ale nie znalazły informacji jak się zmierzyć z tym zadaniem.
Snort i BASE
Do stworzenia efektywnej bazy IDS niezbędne są dwa pakiety - Snort i BASE (Basic Analysis Security Engine). Snort został stworzony w 1998 roku przez Martina Roesch`a jako darmowa alternatywa dla komercyjnych pakietów IDS. BASE jest zbudowany na podstawie projektu ACID (Analysis Console for Intrusion Databases).
Podobnie jak wiele darmowych aplikacji, Snort jest dostępny w formie kodu źródłowego lub instalacyjnego pakietu binarnego dla systemu Linux lub Windows. BASE jest niezależny od systemu operacyjnego - może pracować zarówno na maszynie z zainstalowanym system Linux lub Windows.
Główną funkcją tego artykułu jest demonstracja łatwości tworzenia IDS, a następnie skupienie uwagi na budowie Snort IDS w oparciu o system Linux. Metoda instalacji na systemie Windows będzie wyglądała bardzo podobnie.
Przygotowanie systemu
Bardzo ważna jest decyzja o umiejscowieniu IDS w sieci. Maszyna IDS musi zostać przyłączona do portu, który widzi cały ruch pomiędzy siecią LAN, a Internetem. Oznacza to przyłączenie do portu "mirror" przełącznika lub koncentratora. W przypadku tej drugiej opcji, koncentrator powinien zostać umieszczony pomiędzy połączeniem do Internetu, a siecią LAN. Jeżeli wykorzystujemy zaporę ogniową i tylko jeden sensor IDS, sensor powinien zostać umieszczony pomiędzy zaporą ogniową i LAN - dlaczego? O tym napiszemy dalej.
Wybór typu maszyny z przeznaczeniem na IDS jest zależny od środowiska i analizowanych danych. Snort-IDS potrafi połączyć jedną lub kilka niezależnych maszyn, które raportują do centralnego serwera baz danych. Wybór maszyny od strony sprzętowej jest podyktowany prędkością obsługiwanego połączenia oraz poziomem logowania zdarzeń.
Ten artykuł skupia się na instalacji pojedynczego systemu IDS, umieszczonego na brzegu sieci. Do instalacji systemu Linux wykorzystano komputer osobisty, który kilka lat temu został przeznaczony na straty. Parametry komputera to 256MB pamięci RAM, twardy dysk 20GB, procesor 600MHz oraz napęd CD.
Do instalacji systemu operacyjnego Linux, potrzebujemy płyt instalacyjnych CD. Parametry sieciowe (adres IP i inne) oraz połączenie sieciowe, powinny zostać określone jeszcze przed instalacją systemu.
Kolejną czynnością jest pobranie dystrybucji Linux. W naszym przypadku była to Fedora 7 Live ISO. Fedora 7 Live jest minimalną instalacją dystrybucji, która może zostać uruchomiona z pojedynczego CD. Kolejnym etapem będzie nagranie obrazu na płytę CD.
Do maszyny IDS wkładamy płytę CD z i ustawiamy w BIOS funkcję startu z napędu. Maszyna automatycznie uruchomi dystrybucję Fedora 7 Live bez interakcji użytkownika. Pozwalamy na uruchamianie się systemu, aż do ukazania się graficznego interfejsu użytkownika.
Następnie klikamy na ikonę "Instaluj na twardym dysku". Kolejno odpowiadamy na pojawiające się pytania. Większość jest zbliżona do pytań ukazujących się przy instalacji systemu Windows. Gdy instalacja zostanie zakończona, wyciągamy płytę CD i wykonujemy restart maszyny. Maszyna jest już gotowa do instalacji oprogramowania niezbędnego do uruchomienia i administrowania systemem IDS.
Potrzeby aplikacji
Snort pracuje w oparciu o mechanizm porównywania pakietów pasujących do znanych sygnatur ataków. Dostępne są tysiące takich sygnatur. Warto pomyśleć o Snort, jak o inteligentnym snifferze - nieustannie śledzącym przychodzący i wychodzący ruch oraz analizującym - przez porównanie z bazą sygnatur - w czasie rzeczywistym. Manualne realizowanie tego procesu byłoby niemożliwe.
Jeżeli pakiet pasuje do wzorca w wybranej sygnaturze, generowany jest alarm. Analiza alarmów dla dużej ilości danych nie jest łatwym zadaniem, ponieważ wymaga gromadzenia danych oraz ich prezentacji. Potrzebna jest metoda zbierania i dostarczania grup danych do analizy. Dane przeważnie będą gromadzone w bazach danych.
Prezentowany przykład wykorzystuje MySQL jako bazę danych dla aplikacji, ale Microsoft SQL Server czy Oracle mogą wykonywać omawiane zadania z podobnym efektem. Baza danych informacji jest niezbędna do kategoryzacji wiedzy o zagrożeniach. Proces analizy musi odbywać się już w zupełnie inny sposób.
W tym momencie do gry wkracza BASE. BASE jest panelem użytkownika dostępnym z poziomu interfejsu przeglądarki internetowej, który prezentuje dane alarmowe, otrzymywane od oprogramowania Snort. Dostarcza także informacji niezbędnych do identyfikacji zagrożeń oraz przejęcia kontroli w celu ich redukcji.
Pozostałe aplikacje niezbędne do instalacji IDS to serwer www Apache, kompilator GCC oraz język skryptowy PHP. Doskonały przewodnik po instalacji systemu IDS Snort/BASE i wszystkich niezbędnych aplikacji jest dostępny na stronie InternetSecurityGuru.com. Interesująca dokumentacja oraz forum użytkowników są dostępne na domowej stronie Snort (
www.snort.org).
Administrowanie IDS
Po zakończonej sukcesem instalacji, wywołujemy IDS w przeglądarce stron internetowych, otrzymując okno podsumowujące alarmy. Z tego miejsca możemy efektywnie analizować dane odnalezionych intruzów. BASE oferuje wiele możliwości agregacji oraz prezentacji danych. Każdy alarm może zostać analizowany indywidualnie lub w ramach grupy.
Napisaliśmy wcześniej, że sensor IDS zawsze powinien być umieszczony pomiędzy zaporą ogniową, a siecią LAN. Przeważnie alarm określa celowy atak na sieć. Zapora ogniowa może zostać skonfigurowana do odrzucania całego ruchu z atakującego adresu źródłowego. Nie powinniśmy otrzymywać alarmów, jeżeli efektywnie wyeliminujemy zagrożenie blokadą na zaporze.
Idziemy dalej
Zbudowanie funkcjonalnego sensora IDS jest tylko pierwszym krokiem. Gdy już zainstalujemy IDS, administrator powinien spędzić znaczną ilość czasu nad rozpracowaniem alarmów i możliwości systemu.
W miarę rozwoju zagrożeń, wzorce muszą podlegać aktualizacji. Snort oferuje subskrypcję usługi dostępu do nowych wzorców za minimalną opłatą lub w postaci darmowego dostępu przez 30 dni dla zarejestrowanych użytkowników. Oinkmaster jest doskonałym narzędziem do regularnej aktualizacji wzorców.
Sygnatury możemy także tworzyć ręczenie lub poprawiając opcje w sygnaturach wskazujących błędne zagrożenia. Określenie czy alarm jest w rzeczywistości normalnym ruchem czy zagrożeniem jest niezbędne. Nierozsądne jest wyłącznie sygnatury tylko z powodu dużej ilości generowanych alarmów.
Snort może zostać wdrożony w centralnie zarządzanym rozproszonym środowisku, w którym wiele sensorów raportuje do pojedynczego serwera baz danych. W dużych sieciach istotne będzie korelowanie zdarzeń oraz proste wyciąganie informacji z wielu punktów sieci jednocześnie. Ciekawym wdrożeniem jest umieszczenie sensorów Snort, pomiędzy strefami bezpieczeństwa w sieci lokalnej.
IDS bazujący na sygnaturach jest prostym narzędziem udoskonalającym politykę bezpieczeństwa. Oczekiwanie od IDS (lub pojedynczego rozwiązania bezpieczeństwa) eliminacji wszystkich zagrożeń nie jest poprawnym sposobem na bezpieczeństwo. Mimo wszystko, wkroczenie w świat darmowych IDS to ścieżka, która umożliwia osiągnięcie natychmiastowych i znaczących korzyści.
***
Artykuł powstał na podstawie tekstu opublikowanego na stronie www.techworld.com (IDG)
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...