Εγκατάσταση και πειραματική μελέτη συστημάτων ανίχνευσης εισβολών

Abstract

Καθώς όλο και περισσότεροι οργανισμοί αξιοποιούν συστήματα ανίχνευσης εισβολών για την προστασία των πληροφοριακών τους συστημάτων, η ανάγκη για τεχνικές αποτίμησης της αποτελεσματικότητας αυτών των συστημάτων ασφάλειας γίνεται ολοένα και πιο επιτακτική. Η δυνατότητα πραγματοποίησης ποσοτικών μετρήσεων της απόδοσης των IDSs είναι απαραίτητη αφενός μεν για εκείνους που έχουν την ευθύνη αξιολόγησης και επιλογής ενός τέτοιου συστήματος και αφετέρου για τους ερευνητές που προσπαθούν να βελτιώσουν τα συστήματά τους και να μετρήσουν την πρόοδο και αποτελεσματικότητά τους. Ωστόσο, δεν υπάρχει επί του παρόντος μία ολοκληρωμένη και επιστημονικά τεκμηριωμένη μεθοδολογία δοκιμής της αποτελεσματικότητας αυτών των συστημάτων. Η έλλειψη ποσοτικών μετρήσεων απόδοσης των IDS/IPS, οφείλεται σε διάφορα εμπόδια που χρειάζεται να ξεπεραστούν προκειμένου να είναι εφικτή η εκτέλεση αυτών των δοκιμών. Στην παρούσα εργασία γίνεται αρχικά μία συστηματική καταγραφή και ταξινόμηση των υφιστάμενων τεχνολογιών και μεθοδολογιών ανίχνευσης και αποτροπής εισβολών. Η ταξινόμηση αυτή αποτελεί ένα χρήσιμο εργαλείο για όσους φέρουν την ευθύνη προσδιορισμού των στόχων χρήσης ενός τέτοιου συστήματος και επιλογής των κατάλληλων τεχνολογιών που θα οδηγήσουν στην επίτευξη αυτών των στόχων. Δεδομένου ότι η πλειονότητα των εμπορικών συστημάτων που χρησιμοποιούνται σήμερα είναι δικτυακά IDSs/IPSs τα οποία χρησιμοποιούν τη μεθοδολογία ανίχνευσης βάσει υπογραφών, επιλέχθηκαν δύο ευρέως γνωστά δικτυακά IDSs ανοικτού κώδικα προκειμένου να μελετηθούν πειραματικά και να συγκριθούν ως προς την ακρίβεια ανίχνευσης απειλών. Το πρώτο IDS είναι το Snort, το οποίο αποτελεί το πιο καταξιωμένο διεθνώς IDS ανοικτού κώδικα. Το δεύτερο IDS είναι το Suricata, το οποίο έχει γίνει γνωστό τα τελευταία χρόνια κυρίως λόγω του χαρακτηριστικού του πολυνηματισμού που διαθέτει. Το χαρακτηριστικό του πολυνηματισμού επιτρέπει στο Suricata να αξιοποιήσει πολλαπλές CPUs για την παράλληλη επεξεργασία μεγάλου πλήθους πακέτων, καθιστώντας το ικανό να ανταπεξέλθει στις υψηλές απαιτήσεις μίας δικτυακής κίνησης υψηλού όγκου. Για τον προσδιορισμό των πειραματικών δοκιμών που θα επέτρεπαν τη συγκριτική αξιολόγηση των δύο συστημάτων, χρειάστηκε να προηγηθεί ο προσδιορισμός των κυριότερων μετρήσιμων χαρακτηριστικών των IDSs, εστιάζοντας κυρίως στα ποσοτικά χαρακτηριστικά που σχετίζονται με την ακρίβεια ανίχνευσης απειλών. Επίσης, αναλύονται οι δυσκολίες που χρειάζεται να ξεπεραστούν προκειμένου να διενεργηθεί μία αξιολόγηση ενός IDS, αλλά και οι αδυναμίες των IDSs που μπορεί να εκμεταλλευτεί ένας επιτιθέμενος προκειμένου να αποφύγει την ανίχνευση των δραστηριοτήτων του. Μετά τον προσδιορισμό των μετρήσιμων χαρακτηριστικών σύγκρισης, περιγράφονται λεπτομερώς οι δοκιμές που πραγματοποιήθηκαν καθώς και τα συμπεράσματα που προκύπτουν από τη μελέτη των αποτελεσμάτων. Το γενικότερο συμπέρασμα που προκύπτει είναι ότι το Snort παραμένει το de facto IDS/IPS ανοικτού κώδικα για παραγωγικά περιβάλλοντα. Ωστόσο, το Suricata είναι ένα ανερχόμενο IDS/IPS με αξιόλογες επιδόσεις, το οποίο χρησιμοποιεί τεχνικές εκμετάλλευσης των διαθέσιμων υπολογιστικών πόρων οι οποίες θα πρέπει να υιοθετηθούν και από το Snort. Η εξέλιξή του θα πρέπει να παρακολουθείται στενά, καθώς στο προσεχές μέλλον ενδέχεται να αποτελέσει την πιο ενδεδειγμένη λύση δικτυακού IDS/IPS ανοικτού κώδικα.