IPS TIZIMLARI ARXITEKTURASI HAQIDA AYTILMAGANLAR

Biz tez-tez IPS (Intrusion Prevention System / Protection System against Threats) sifatida duch keladigan ushbu tizimning umumiy ta'rifiga o'tishdan oldin, IPS ning asosi bo'lgan IDS (Intrusion Detection System) tizimidan boshlash kerak.

IDS tizimlarining umumiy tuzilishi va ta'rifini keltirsak; Bu ishonchli va himoyalangan tizimlarning ishlashiga ta'sir qilishi mumkin bo'lgan tahdidlar yoki hujumlarni real vaqt rejimida aniqlashni ta'minlaydigan tizimlardir. Tizim tarkibi doirasida tarmoq orqali o'tadigan barcha paketlar tekshiriladi va tegishli ma'lumotlar tizimdagi jurnal yozuvlarida saqlanadi. Bu yerdagi muhim jihat shundaki, tizim faqat nazorat qilinadi va IDS tizimi tomonidan hech qanday ehtiyot choralari ko'rilmaydi; Tahdidlar oddiygina aniqlanadi va ma'lumotlar tegishli xodimlarga to'g'ri tuzilgan formatda taqdim etiladi. IPS tizimlari IDS tizimlarining takomillashtirilgan versiyasidir.

Bilamizki, texnologiyaning kundan-kunga rivojlanishi bilan kompyuterlashtirilgan tizimlardan foydalanish majburiy holatga aylandi. Bunga parallel ravishda biz kompyuterlashtirilgan tizimlarda ham xavfsizlik zaifliklari paydo bo'lishini va har kuni turli xil xavfsizlik muammolari aniqlanayotganini kuzatamiz. Bu borada aytishimiz mumkinki, IPS tizimlaridan foydalanishda yuzaga keladigan zaifliklarni aniqlash va ularga qarshi choralar ko'rish jarayoni minimal darajaga kamaydi. IPS tizimlari biz IDS ning ilg'or versiyasi sifatida tasvirlaydigan tuzilmalar bo'lganligi sababli, IDS tomonidan aniqlangan zararli holatlar IPS tomonidan aniqlanadi va parallel ravishda aniqlangan muammoga qarshi dasturiy ta'minotda zarur choralar ko'riladi.

Xo'sh, shu paytgacha bo'lgan jarayonda biz IPS kontseptsiyasidan foydalanishning umumiy maqsadi haqida qisqacha gaplashdik. Ushbu ma'lumotlarga qiziqqan va savollari bo'lgan do'stlarimiz bormi?

  • IPS arxitekturasiga nimalar kiradi?
  • IPS ning qanday turlari mavjud?
  • IPS joylashuvni aniqlash usullari qanday?
  • IPS konfiguratsiyasida mavjud ta'riflar va foydalanish maqsadlari?

Yuqorida berilgan savollarga maqolamiz orqali javob beramiz.

IPS arxitekturasini tashkil etuvchi asosiy tushunchalar

Ushbu maqolani yozishdan oldin men ushbu mavzu bo'yicha juda ko'p tadqiqot o'tkazdim. Bu yerda siz bilan baham ko‘radigan tushunchalarni qo‘limdan kelganicha umumiy tushunchalar va ko‘p texnik iboralarni tarjima qilmasdan asl ma’nosida ishlatishga harakat qilaman.

IPS tizimlarining asosiy tanasini va hatto qalbini tashkil etuvchi tuzilmalar bir yoki bir nechta sensorlardan iborat. Ushbu sensorlarning har biri strategik ma'noga ega va network/tarmoq trafigini tahlil qilishda muhim ahamiyatga ega. Qo'shimcha ma'lumot sifatida VM (Virtual tizimlar) platformalarida ishlay oladigan sensorlarni ham alohida ta'kidlash lozim.

IPS magistralida joylashgan Bouncer IPS tizimlari (Bouncer = Protector) ko'p modulli tizimlardir. Har bir modul ma'lum bir funktsiya uchun mo'ljallangan va moslashtirilgan. Ushbu komponentlar quyidagicha tasniflanadi:

  • Bouncer Defence Unit (BDU)
  • Bouncer Control Unit (BCU)
  • Bouncer Report Unit (BRU)
  • Intelligence Plug-In
  • Alarm Center Plug-In
  • Bouncer Shield Plug-In
  • Update Manager Plug-In
  • Bouncer Inter-Connection Channel (BIC)

Keling, ularning ta'riflari va ular qanday vazifalarni olishlari haqida qisqacha aytib o'taylik:

Bouncer Defence Unit (BDU):
U IPS ning asosini tashkil etadi. Policy va himoya darajasini belgilaydigan tuzilmadir. Bu tarmoq trafigiga ta'sir qilmaydi. Har bir sotuvchi o'z konfiguratsiyasi doirasida o'zgartirishlar kiritishi mumkin.

Bouncer Control Unit (BCU):
Bu trafik kuzatiladigan va query logs joylashgan bo'lim. U end-to-end xavfsizlikni maksimal darajada oshiradi.

Bouncer Report Unit (BRU):
Bu menejerlarga to'liq va batafsil hisobotlarni taqdim etadigan moduldir. U muhim operativ va taktik maslahatlar beradi.

Intelligence Plugin:
Bu hujum paytida hujumni amalga oshirganning ma'lumotlarini to'playdigan modul. U BDU bilan parallel ishlaydi. O'rnatilgan siyosat ma'lumotlarni taqdim etish orqali kerakli ehtiyot choralarini ko'rishga katta hissa qo'shadi.

Alarm Center Plugin:
Aslida, bu ko'plab sotuvchilar tomonidan aniqlanganidek, hujum sodir bo'lgan taqdirda yoki o'ta og'ir vaziyatlarda foydalanuvchini elektron pochta, SMS yoki qo'ng'iroq orqali ogohlantirish imkonini beruvchi moduldir.

Bouncer Shield Plugin:
Ma'lum shubhali vaziyatlar va maqsadlar to'g'risidagi ma'lumotlarni yangilash uchun javobgardir. U ushbu ma'lumotlarni soha manbalaridan foydalangan holda taqdim etadi.

Update Manager Plugin:
BCU va BDU uchun versiya ma'lumotlarini, fix/tuzatish ma'lumotlarini, IPS imzolarini va xavfsizlik tafsilotlarini kuzatishni ta'minlovchi plagin. Qisqa vaqt ichida yangi imzolarni tizimga integratsiya qilish muhim ahamiyatga ega.

Bouncer Inter-Connection Channel (BIC):
IPS komponentlari o'rtasidagi aloqa to'liq va muammosiz davom etishini ta'minlaydi. (BCU, BDU va boshqalar)

IPS turlari qanday?

IPS funktsiyasi bugungi kunda rivojlanayotgan tarmoq texnologiyalari bilan o'zgarmasa-da, u mavjud bo'lgan platformalar va qurilmalar farq qilishi mumkin. Aslida, biz IPSni ikkita asosiy sarlavha ostida ajratishimiz mumkin:

  • NIPS (Network-based Intrusion Prevention System)
  • HIPS (Host-based Intrusion Prevention System)

NIPS (Network-based Intrusion Prevention System)

Network asosida ishlaydigan IPS tizimlari sizning tarmoq trafigingizning asosiy nuqtalarida joylashgan bo'lib, sizga yuqori darajadagi himoya darajasida tarmoq maxfiyligi (confidentiality), yaxlitligi (integrity) va mavjudligini (availability) taqdim qiladi. NIPS ning asosiy maqsadi - tizimingizga kelishi mumkin bo'lgan hujum tahdidlariga qarshi imkon qadar tezroq zarur hozirlik va choralarni ko'rishdir. NIPS bilan zararli dasturlar faoliyati yoki shubhali trafikni aniqlash batafsil protokol tahlilini taqdim etish orqali amalga oshiriladi. Aslida, bir maqolada aytilganidek, NIPS tom ma'noda trojan, worm, virus kabi yoki polimorfik tahdidlar uchun qamoqxonadir.

NIPS yuqori bandwidth ga ega tarmoq trafigini tahlil qila oladigan konfiguratsiya va arxitekturani o'z ichiga oladi. Joriy trafik oqimini ta'minlagan holda ushbu trafikning tezkor tahlilini ta'minlash; Bu sizga ushbu paketlardan mazmunli xulosalar chiqarish va ularni ma'lum tahdidlar bilan solishtirish va juda qisqa vaqt ichida ehtiyot choralarini ko'rish kabi vazifalarni taqdim etadi.

NIPS uchta asosiy usulni o'z ichiga oladi:

  • Signature-based Detection (imzoga asoslangan aniqlash),
  • Anomaly-based Detection (noqonuniy/anomaliya/normal bo'lmagan aniqlash),
  • Protocol State Analysis Detection (protokolga asoslangan tahlil bilan aniqlash),

Keling, yuqorida aytib o'tilgan mavzular haqida qisqacha tanishib olaylik:

Signature-based Detection: Imzolar oldindan belgilangan va tayyorlangan hujum namunalari. Umumiy operatsion mantiq shundan iboratki, nazorat qilinadigan tarmoq trafigidagi imzolar va tarmoq paketlari o'rtasidagi moslikni tekshiradi. Agar mos keladigan bo'lsa, u muvaffaqiyatli davom etishni ta'minlaydi. Albatta, muvaffaqiyatsizlik ham duch keladigan muammolardan biridir; Ehtimol, ushbu qismni o'qib chiqqandan so'ng, bu savol sizning xayolingizga keladi. Hali imzolanmagan zero-day hujum turiga duch kelganingizda nima qilish kerak? Bu holda, siz foydalanadigan sotuvchiga ishonishingiz kerak, chunki zero-day hujumlar uchun imzolar odatda juda qisqa vaqt ichida nashr etiladi. Bunday vaziyatda siz olgan mijoz va server xavfsizligi ham birinchi o'ringa chiqadi.

Anomaly-based Detection: Ayni damda ishlab turgan va sozlangan tizimda tarmoq trafigini kuzatib turib, vaqti-vaqti bilan uni tahlil qiladi va agar oldingi misol bilan taqqoslaganda g'ayritabiiy statistika yuzaga kelsa, u ushbu g'ayritabiiy vaziyatga aralashadi. Misol uchun, biz uni ichkaridan tashqariga g'ayritabiiy tarzda yaratilgan va ma'lumotlarni tashqariga chiqarishga urinayotgan xaker tomonidan yaratilgan trafik misolida ko'rishimiz mumkin. Bu yerda, standart baza davom etar ekan, ichkaridan tashqariga yoki tashqaridan ichkariga trafik ma'lum vaqt oralig'ida g'ayritabiiy ravishda o'zgarishi yoki hujum sodir etuvchisi e'tiborga tushmaslik uchun ma'lum bir manbadan muntazam buyruqlar bilan ma'lumotlarni turli nuqtalarga yubirishga harakat qilishi mumkin. Bu kabi holatlar IPS dagi sensorlar tomonidan aniqlanishi mumkin.
Protocol State Analysis Detection: Ma'lum himoyasiz bo'limlar tomonidan ishlatiladigan protokollar va portlar bo'yicha tranzaktsiyalarni tahlil qiladi va agar ehtiyot choralari olinishi kerak bo'lsa, uni belgilangan konfiguratsiya doirasida bajaradi.
NIPS bilan muvaffaqiyatli ishlaydigan ko'plab vendorlar mavjud. Buning uchun Gartner va NSS hisobotlarini ko'rib chiqqandan keyin mahsulot tanlashni unutmang.

HIPS (Host-based Intrusion Prevention System)

Xostga asoslangan IPS tizimi bitta tizim ichidagi serverlar (Jismoniy Xost yoki VM Xost) kabi mahsulotlarda internet-trafikdan kelib chiqishi mumkin bo'lgan viruslar va tahdidlarga qarshi himoya mexanizmini yaratadi. U xostda 3-layer dan 7-layer gacha, yaʼni Network layerdan Application layergacha xavfsizlik mexanizmini taʼminlaydi. HIPS o'rnatilgan xost muntazam ravishda voqealarni, ma'lumotlarni uzatishni, unda ishlaydigan ilovalar xizmatlarini va xost xususiyatlarini tekshiradi. HIPS tizimdagi event lar, ilova log jurnallari va fayl tizimi o'zgarishlari ma'lumotlar bazasini tahlil qiladi va o'zgarishlar va ruxsatsiz kirish ustidan nazoratni ta'minlaydi. HIPS maʼlumotlar bazasidagi har bir obyektni solishtirar ekan, u obyekt xususiyatlaridan foydalangan holda oʻz-oʻzini nazorat qiladi va kontentdagi oʻzgarishlarni muntazam ravishda tekshirib, ehtiyot choralarini koʻradi. HIPS shuningdek, xotiraga biron bir o'zgartirish kiritilgan yoki yo'qligini bilish uchun xotira bo'limlarini tekshiradi.

Agar HIPS ning afzalliklari haqida gapiradigan bo'lsak, u korporativ va davlat muassasalariga topshiriladigan tizimlarda taqdim etgan xavfsizlik siyosati bilan xavfsizlik darajasini yanada yuqori darajaga ko'taradi. Xostda ishlash orqali u lokal tarmoqdan kelishi mumkin bo'lgan hujumlar va tahdidlarga qarshi muhim ehtiyot chorasini ham ko'radi.

Virtualizatsiya texnologiyasining rivojlanishi bilan biz turli vendorlar turli platformalarni taklif qilishini ko'rishimiz mumkin. HIPS tomonida ishlab chiquvchilar virtual sensorli tuzilmalar bilan VM tarmog'ida o'zlarini ham joylashtirishlari mumkin. Chunki bu platformalar aslida o'z ichida trafikga ega edi va ichidagi trafik o'z ichida aylanadi. Bu yerdagi trafik sizning IPS qurilmangiz yoki xavfsizlik devori qurilmangizsiz tarmog'ingizdagi virtual kalitlar orqali bir-biri o'rtasida ma'lumotlarni uzatishi mumkin. Bu fikrni tushuntirishimning sababi shundaki, umuman olganda, server tizimlarini joylashtiradigan Virtual platformalarda ko'plab veb-ilovalar tashqi xizmatlarni taqdim etuvchi yoki ichki tarmoqda qo'llaniladigan xizmatlar bo'lishi mumkin. Ushbu nuqtada, ichki yuzaga kelishi ehtimoli bo'lgan zaifliklardan foydalanishi imkoniyati bor zararli xodimlar yoki foydalanuvchilar bo'lishi mumkin. Ushbu bo'limda siz IPS tizimlari bilan ko'rilishi mumkin bo'lgan ehtiyot choralari bilan xavfsizligingizni yuqori darajalarga ko'tarishingiz mumkin. HIPS yordamida siz anti-malware, web reputation, integrity monitoring, IPS-signature-base, log inspection yoki ilova boshqaruvi kabi operatsiyalarni ham bajarishingiz mumkin.

Bu borada, men sizga o'zim foydalanadigan va hozirda faol ishlayotgan Trend Micro Deep Security mahsulotini tavsiya qilishim mumkin. Gartner hisobotlarida ham yetakchi darajada. Trend Micro sizga sinab ko'rish uchun bepul test litsenziyasini ham taklif etadi.

IPS joylashuvni aniqlash usullari qanday?

IPS joylashuvni aniqlash usullarini 4 xil sarlavha ostida ko'rib chiqishimiz mumkin:

  • SPAN Mode (passive sniffer rejimi),
  • TAP konfiguratsiyasi,
  • Inline Mode (Active gateway rejimi)
  • Virtual IPS.

Endi tafsilotlar haqida gaplashamiz:

SPAN rejimi nima: IPS SPAN portlari bir yoki bir nechta tarmoq kalitlariga ulangan va BDU (mudofaa birligi) aniqlash portlari bilan bog'langan. Shunday qilib, TCP ulanishini qayta o'rnatish kabi zaxira harakatlar BDU tomonidan bir xil port yordamida kiritilishi mumkin.
TAP rejimi: Ushbu rejimda kiruvchi va chiquvchi trafikni IPS qurilmasida kuzatish va tahlil qilish mumkin va agar ichki foydalaniladigan integratsiyalashgan yechim mavjud bo'lsa, u yerdan olingan ma'lumotlar bilan harakat qilish mumkin. Bu yerda butunlay to'liq trafikni qo'lga kiritish mumkin. Bu tahdidlarga qarshi chuqur tahlil qilish imkonini beradi.
Inline rejimi: Aslida, bu ko'pchiligimiz faol foydalanadigan usul. Kerakli profilaktika IPS choralarini ko'rish va sensorlar bilan hujumlarga qarshi choralar ko'rish orqali ta'minlanadi. Umuman olganda, UTM firewall va yagona maqsadi IPS bo'lgan qurilmalar xavfsizlik darajasini oshirish uchun ushbu rejimda ishlaydi.
Virtual IPS: Sensorlar Virtual IPS (Virtual) innovatsion va kuchli konsepsiyasini qo'llab-quvvatlaydi. Bu sensorni xavfsizlik siyosati bilan to'liq moslashtirilishi mumkin bo'lgan bir nechta virtual sensorlarga bo'lish qobiliyatini ochadi. Bu shaxsiylashtirilgan hujumni tanlash va tegishli qarshi javob harakatlarini o'z ichiga oladi. Virtual IPS IP-manzillar bloki, bir yoki bir nechta VLAN teglari yoki sensordagi muayyan port yoki portlar asosida aniqlanishi va amalga oshirilishi mumkin.

IPS konfiguratsiyasida ta'riflar va foydalanish maqsadlari?

Zaiflik ta'riflari:
Ta'riflar turli xil sotuvchilar tomonidan taqdim etilishi mumkin. Eng muhimlaridan biri ZDI. Har bir identifikatsiya o'ziga xos identifikatorni o'z ichiga oladi. Ushbu ta'riflar bilan siz mahalliy joylashgan IPS qurilmangizda yoki IPS xizmatiga ega UTM xavfsizlik devorlari orqali sodir bo'lishi mumkin bo'lgan hujumlarning oldini olish ehtimoli yuqori bo'ladi. Biz tez-tez eshitadigan boshqa tushunchalar - virtual tuzatish va IM/P2P blokirovkasi. Virtual tuzatish noyob nom, nashr etilgan sana, jiddiylik darajasi, javob, protokol, biznesga ta'sir darajasi, ishonch darajasi va tegishli xavfsizlik byulletenlari ro'yxati bilan tavsiflanadi. Boshqa tomondan, IM/P2P noyob nom, ular chop etilgan sana, xavf darajasi va javob bilan tavsiflanadi.

IPS qurilmalarida umumiy harakat bosqichlari quyidagilardir: Blocking, Blocking and Log, Only Log, Allow, Allow and Log.

Har bir IPS imzosining  severity xususiyati bor. (Critical, Highly Suspicious, Medium, Low va h.k.) Konfiguratsiya qilishda ularning tafsilotlari tekshirilishi va iloji bo'lsa, IPS joylashuvini aniqlashdan oldin ichki tarmoq va tashqi xizmat tarmoqlarining batafsil tahlili NESSUS yoki shunga o'xshash dasturlar bilan ta'minlanishi kerak. Bu yerda amalga oshiriladigan tahlil bilan siz IPS qurilmangizni protokol asosida, servis asosida, risk darajasi, ishonchlilik va muhimlik darajasi bo'yicha tafsilotlar bilan sozlashingiz mumkin. Qo'shimcha ma'lumot sifatida, zararli dasturlar ayni vaqtda foydalanilayotgan serverlar va clientlarda allaqachon ishlatilayotgan bo'lishi mumkin. Bunday hollarda, skanerlash natijalari sizga chora ko'rish va joylashish nuqtasini aniqlashda yordam beradi. Yana bir eslatib o'tilishi kerak bo'lgan masala, agar tizimda imzo bilan belgilanmagan zaif nuqta mavjud bo'lsa, nima qilish lozim? Bu borada, har bir sotuvchi turli xil yechim taklif qilishi mumkin. Behaviour monitoring yoki IPS-da predictive machine learning kabi qo'shimchalarni qo'llaydigan ishlab chiqaruvchilar mavjud. Kiruvchi hujumni tahlil qiluvchi va siz ko'rsatgan sozlamalar yoki standart sozlamalar bilan blokirovka operatsiyalarini ta'minlaydigan imkoniyatlarni o'z ichiga olgan mahsulotlar mavjud, ularning eng yaxshi namunalaridan biri Trend Micro Tipping Point mahsulotlari oilasidir. Ushbu mahsulot yordamida siz NESSUS yordamida skanerlash natijalarini qurilmaga import qilishingiz va imzolarni avtomatik aniqlashni yoqishingiz mumkin. Agar imzo aniqlanmagan bo'lsa, ushbu skanerlash natijasi asosida vaqtinchalik choralar ko'rish uchun qurilma interfeysidan imzo (yoki bir qoida) belgilashingiz mumkin.

IPS qurilmalari jismoniy kabellar yordamida turli segmentlarda ishlashi mumkin. Shuning uchun men sizga sotib oladigan mahsulotning segment qo'llab-quvvatlashi va tafsilotlarini o'rganishni tavsiya qilaman. Turli segmentlardan qasd qilingan narsa, kiruvchi va chiquvchi trafik oqimini buzmasdan tahlil qilisj va kerakli ehtiyot choralarini ko'rishdan iborat. Siz o'rnatadigan tuzilmada bir nechta ortiqcha magistral yoki firewall qurilmalari bo'lishi mumkin.

Har bir qurilma tarmoq trafigini o'zi orqali o'tkazadigan alohida jihoz hisoblanadi.

Quyidagi topografiya misolida men mahalliy trafikda IPS bilan ehtiyot choralarini ko'rish uchun sizga 4 xil segmentatsiya ta'riflarini taqdim qilmoqchiman. Haqiqiy loyihada turli xil yechimlarni rejalashtirish mumkin.

IPS Exceptions (IPS skanerlashi tashqarisida qoladi):
Odatda, exception kiritish tavsiya etilmaydi. Biroq, davlat muassasalarida yoki transmilliy kompaniyalarda istisno kiritish zarurati bo'lishi mumkin. Biz odatda IP yoki domenga asoslangan tranzaktsiyalar amalga oshirilishini kuzatamiz.

Birinchi konfiguratsiyada bajarilishi kerak bo'lgan holatlar:
Har bir foydalanuvchi singari, men uni birinchi marta o'rnatganimda bu savolni berdim. Ammo keyinroq, dastlabki o'rnatishdan so'ng, kiruvchi va chiquvchi trafikda aniqlangan IPS-imzolarni kuzatish uchun yuqorida aytib o'tgan tarmoq tahlillarini amalga oshirish va keyin qurilmani bir muddat Log only rejimida ishga tushirish to'g'ri ekanligini bilib oldim. Shunday qilib, siz qanday siyosat qo'llaysiz degan savolga javob o'laroq ichki tarmoqdagi kritik darajada yoki highly suspicious darajadagi trafik tahlilini kuzatish orqali shakllana boshlaydi. Ba'zi sotuvchi rasmiylari sizga tanqidiy vaziyatlarni tayyor ko'rinishda taqdim etishi va ularni tizimda blokirovka qilishni tavsiya etishi mumkin.

Tizimni ishga tushirishdan oldin yangilanishlarni albatta tekshirib oishingiz kerak.

Trafik uzatilishi yoki statistik ma'lumotlar olinib yoki olinmasligini tekshirish uchun o'zingiz kichik tarmoq laboratoriyasini o'rnatish orqali sinov tariqasida test o'tkazishingiz foydali bo'ladi. Agar siz o'rnatadigan mahsulot bilan to'liq tanish bo'lmasangiz, sotuvchining yordamidan foydalanib boring.