Το προφίλ μας στο Google Plus
0

Εντοπισμός εισβολέων, στο επίπεδο του router

Ποιο είναι το μεγάλο “συν” κάθε οικιακού router, ασχέτως του κόστους, των επιμέρους δυνατοτήτων ή της φήμης του κατασκευαστή; Μα το γεγονός ότι λειτουργεί ως firewall, για τις συσκευές και τους υπολογιστές πίσω του. Όσοι βέβαια βλέπουν το όλο θέμα της ασφάλειας *λίγο* πιο σοβαρά από το Μέσο Παπαδόπουλο (TM), τότε κατά πάσα πιθανότητα θα σνομπάρουν τόσο το firewall, όσο και τον ίδιο τον οικιακό router.

Εντοπισμός εισβολέων, στο επίπεδο του router

Όχι ότι δεν υπάρχουν αξιόλογοι home routers στην αγορά, αλλά όποιος έχει υλοποιήσει μια λύση βασισμένη σε εξειδικευμένο λειτουργικό σύστημα, όπως, π.χ., είναι το λατρευτό pfSense, δύσκολα γυρίζει πίσω. Για το pfSense έχουμε πει και γράψει πολλά στο παρελθόν και σίγουρα θα πούμε και θα γράψουμε κι άλλα στο μέλλον (βλ., π.χ., το deltaCast s01e07 ή το άρθρο περί OpenVPN στο pfSense). Σ’ αυτό το άρθρο θέλουμε να εστιάσουμε στο πώς ενισχύουμε ακόμα περισσότερο την ασφάλεια του δικτύου πίσω από ένα pfSense box, επιστρατεύοντας ένα ικανό σύστημα intrusion detection και prevention. Πιο συγκεκριμένα, σε λίγο θα γνωρίσουμε το Snort κι αμέσως μετά θα το εγκαταστήσουμε και ρυθμίσουμε, καθώς και παρακολουθήσουμε επί τω έργω. Πρώτα απ’ όλα όμως οφείλουμε να εξηγήσουμε τι είναι ένα σύστημα intrusion detection ή/και prevention.

IDS, IPS, IDPS, firewalls και τα ρέστα
Ένα Intrusion Detection System, εν συντομία IDS, είναι μια συσκευή ή εφαρμογή λογισμικού με αποστολή τον εντοπισμό κακόβουλων ενεργειών ή/και παραβιάσεων πολιτικών που αφορούν σ’ ένα μεμονωμένο σύστημα ή σ’ ένα ολόκληρο δίκτυο. Κάθε φορά που το IDS ανιχνεύει κάτι παράξενο ή παράτυπο στο σύστημα ή στο δίκτυο που εποπτεύει, ετοιμάζει και μια σχετική αναφορά. Όλες αυτές οι αναφορές είναι διαθέσιμες στον υπεύθυνο ή στους υπεύθυνους διαχειριστές, οι οποίοι αφού τις αξιολογήσουν αποφασίζουν για το αν πρέπει να πάρουν μέτρα προς την ενίσχυση της ασφάλειας ή/και να φροντίσουν για την εφαρμογή προαποφασισμένων πολιτικών.

Υπάρχουν δύο είδη IDS: Εκείνα που παρακολουθούν ένα μόνο μηχάνημα (Host-based Intrusion Detection System, HIDS), καθώς κι εκείνα που εποπτεύουν ένα ολόκληρο δίκτυο (Network-based Intrusion Detection System, NIDS). Το Snort, με το οποίο θα ασχοληθούμε σε πολύ λίγο, ανήκει στη δεύτερη κατηγορία. Πρόκειται δηλαδή για ένα NIDS, αλλά έχει την ικανότητα να λειτουργεί κι ως Intrusion Prevention System (IPS). Τα δε IPS είναι κοντινοί συγγενείς των IDS, μόνο που δεν περιορίζονται στην παθητική παρατήρηση κι αναφορά: Σε αντίθεση με ένα IDS, κάθε φορά που ένα IPS ανιχνεύει μια επίθεση ή παραβίαση, ενεργοποιεί μηχανισμούς αναχαίτισης. Ακριβώς γι’ αυτό, τα IPS αναφέρονται κι ως IDPS (Intrusion Detection *and* Prevention System).

Πριν στρέψουμε την προσοχή μας ειδικά στο Snort, θεωρούμε ότι πρέπει ν’ απαντήσουμε σ’ ένα εύλογο ερώτημα: Ποια είναι η διαφορά ενός IDPS από ένα firewall;

Λοιπόν, χαιρόμαστε που ρωτήσατε.

Ένα τυπικό firewall σε κάποιο σύστημα ή δίκτυο, έχει μια προκαθορισμένη συμπεριφορά και στην πλειονότητα των περιπτώσεων φιλτράρει κυρίως τα εισερχόμενα πακέτα. Αναλυτικότερα, αν ένα εισερχόμενο πακέτο δεν κατευθύνεται σε ανοικτό port, τότε αμέσως απορρίπτεται. Ένα IDPS λειτουργεί αρκετά πιο περίπλοκα. Κατ’ αρχάς, ακόμη κι όταν βλέπει εισερχόμενα πακέτα προς ανοικτά ports, αν διαπιστώσει ότι λαμβάνει χώρα μια κακόβουλη ενέργεια, όπως, π.χ., είναι ένα DoS ή κάποιο brute force attack, αναφέρει το γεγονός ή/και μπλοκάρει τα εμπλεκόμενα remote hosts. Επιπρόσθετα, ένα IDPS είναι δυνατόν να ελέγχει και τα πακέτα που διακινούνται εντός δικτύου, καθώς και τα εξερχόμενα, δηλαδή αυτά που ξεκινούν από μηχανήματα του τοπικού δικτύου και φεύγουν προς τον έξω κόσμο. Γιατί είναι χρήσιμο αυτό; Μα, γιατί σε αντίθεση με το οικιακό μας δίκτυο, στο δίκτυο μιας εταιρείας, ενός οργανισμού ή κάποιου εργαστηρίου, οι χρήστες δεν επιτρέπεται να κάνουν ό,τι θέλουν. Και σ’ αυτά τα “ό,τι θέλουν” δεν συγκαταλέγονται μόνο κατάφωρα κακόβουλες ενέργειες, όπως, π.χ., είναι μια επίθεση brute force, αλλά κι απλές, ενδεχομένως αθώες ενέργειες, οι οποίες όμως αποτελούν παραβιάσεις προαποφασισμένων πολιτικών. (Παράδειγμα: Απαγορεύεται η χρήση του Dropbox ή εφαρμογών που χρησιμοποιούν το πρωτόκολλο BitTorrent, όπως είναι το Sync.)

Γενικά, μπορούμε να φανταζόμαστε ότι τα IDPS αποτελούν ένα είδος application-level firewall. Εξετάστε ένα οποιοδήποτε από τα πολλά firewalls τρίτων κατασκευαστών που διατίθενται για Windows κι αναλογιστείτε τι κάνει: Θα διαπιστώσετε ότι η λειτουργικότητά του θυμίζει εκείνη ενός IDPS. Κάποιοι κατασκευαστές μάλιστα το αναφέρουν ξεκάθαρα: “Έχουμε *και* IPS / υπερέχουμε των άλλων / προτιμήστε μας” (ή κάπως έτσι, τέλος πάντων). Η κρίσιμη διαφορά εδώ είναι ότι τα application-level firewalls για Windows προστατεύουν ένα μόνο μηχάνημα, τη στιγμή που ένα τυπικό IDPS κατά πάσα πιθανότητα θα προστατεύει ένα ολόκληρο δίκτυο.

Υπάρχουν πάρα πολλά ακόμα που θα μπορούσαμε να συζητήσουμε για τα IDS/IPS, όπως, π.χ., για τις μεθόδους ελέγχου που χρησιμοποιούν ή για το πόσο ακριβή (δεν) είναι. Όλα αυτά όμως είναι καλύτερα να τα δούμε στην πράξη, παίζοντας με το πανίσχυρο Snort μέσα από το web panel του pfSense.

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 036 (τεύχος Σεπτεμβρίου 2014).

Το μηνιαίο περιοδικό deltaHacker είναι αποκλειστικά ψηφιακό (μορφή PDF). Μάθετε για τις απίστευτες τιμές των συνδρομών αλλά και για τα εκτενή κι αναλυτικά video tutorials (deltaCast Episodes), και κάντε τώρα την παραγγελία σας από τη σχετική φόρμα. Προσοχή: Για την πλήρη πρόσβαση στο deltaCast απαιτείται ενεργή συνδρομή στο περιοδικό.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων