Захист від сканування портів з використанням IDS/IPS

Привіт, колеги! Сьогодні ми поговоримо про фундаментальну, але вічно актуальну тему у світі серверів і мереж – захист від сканування портів. У нашому блозі Valebyte ми регулярно торкаємося питань безпеки, і ця тема не виняток. То як же захиститися від сканування портів з використанням IDS/IPS? Системи виявлення та запобігання вторгненням (IDS/IPS) є ключовим інструментом в арсеналі будь-якого системного адміністратора для детектування та активного блокування спроб сканування портів, аналізуючи мережевий трафік на предмет аномальних патернів, відомих сигнатур сканерів і підозрілої активності, що виходить за рамки нормальної поведінки протоколів. Вони дозволяють не тільки дізнатися про те, що відбувається, але й вжити заходів до того, як розвідка перетвориться на повноцінну атаку.

Сканування портів: Не просто "цікавість"

Для нас, сисадмінів, сканування портів – це не просто фоновий шум у логах. Це перший, найчастіше найгучніший, крок зловмисника в процесі збору інформації про нашу інфраструктуру. Уявіть, що хтось стукає у всі двері вашого будинку, щоб зрозуміти, які з них відкриті, а які ведуть у комору з цінностями.

Чому сканування портів так важливо відстежувати?

• Розвідка вразливостей: Відкриті порти прямо вказують на запущені сервіси (SSH, HTTP/S, FTP, SQL, RDP і т.д.). Знаючи сервіс, зловмисник може шукати відомі вразливості для конкретної версії ПЗ.
• Визначення ОС і версій ПЗ: Багато сканерів (на кшталт Nmap) вміють визначати тип операційної системи та версії запущеного ПЗ на основі відгуків портів. Це звужує коло пошуку експлойтів.
• Пошук "забутих" сервісів: Іноді на серверах залишаються запущеними тестові або застарілі сервіси, які не повинні бути доступні ззовні. Сканування виявить їх.
• Ресурси та навантаження: Інтенсивне сканування, особливо широкомовне або розподілене, може саме по собі створювати навантаження на мережеве обладнання та сервери, відволікаючи ресурси від основної роботи.
• Провісник атаки: У переважній більшості випадків, сканування портів передує більш цілеспрямованій атаці. Виявивши його, ми отримуємо цінний час для реагування.

Ми говоримо не тільки про класичні TCP SYN-скани, але й про більш приховані методи: FIN, NULL, XMAS-скани, UDP-скани, ACK-скани для обходу фаєрволів і навіть повільні "stealth" скани, які намагаються залишитися непоміченими.

IDS vs. IPS: Короткий лікбез для колег

Перш ніж заглиблюватися в деталі, давайте швидко освіжимо в пам'яті ключові відмінності між IDS і IPS, оскільки вони відіграють різні, але взаємодоповнюючі ролі.

Системи виявлення вторгнень (IDS - Intrusion Detection System)

IDS — це пасивний слухач. Вона моніторить мережевий трафік (NIDS) або системні логи та події на хості (HIDS), шукає підозрілі патерни або аномалії, а потім генерує оповіщення. IDS не втручається в трафік і не блокує його. Її основне завдання — проінформувати вас про потенційну загрозу.

• Переваги: Не вносить затримок у трафік, не блокує легітимні з'єднання (менше хибних спрацьовувань), ідеально для моніторингу.
• Недоліки: Не запобігає атаці, вимагає ручного втручання для реагування.

Системи запобігання вторгненням (IPS - Intrusion Prevention System)

IPS — це активний захисник. Вона працює "в розриві" (inline), між джерелом і одержувачем трафіку. Крім виявлення загроз, IPS здатна активно блокувати, відкидати або змінювати шкідливий трафік у реальному часі. Якщо IDS каже "У нас проблема!", то IPS каже "Я її вже вирішую!".

• Переваги: Активно запобігає атакам, мінімізує час реакції.
• Недоліки: Може вносити затримки в трафік, високий ризик хибних спрацьовувань (false positives) може призвести до блокування легітимного трафіку, вимагає ретельного налаштування та моніторингу.

Для захисту від сканування портів IPS, що працює в режимі блокування, є кращим варіантом, оскільки вона може автоматично зупинити сканер, не чекаючи вашого втручання. Однак IDS у зв'язці з SIEM-системою також вкрай цінна для аналізу та реагування.

Як IDS/IPS детектують сканування портів?

Механізми виявлення сканування портів в IDS/IPS базуються на кількох принципах:

1. Сигнатурний аналіз

Це найпоширеніший метод. IDS/IPS шукають відомі патерни трафіку, характерні для різних типів сканування. Ці патерни описуються в базах сигнатур (правил).

• Приклад: Швидке послідовне відправлення SYN-пакетів на безліч портів одного хоста від однієї й тієї ж IP-адреси.
• Практика: Сигнатури для Snort або Suricata часто виглядають як набір умов, що описують такі патерни.

2. Аналіз аномалій

Цей метод заснований на побудові "базової лінії" нормальної мережевої поведінки. Будь-яке відхилення від цієї базової лінії вважається аномалією і може вказувати на атаку. Наприклад, якщо сервер зазвичай приймає 100 з'єднань на хвилину, а раптово їх стає 1000, це аномалія.

• Приклад: Незвично велика кількість з'єднань або спроб з'єднань до закритих портів за короткий проміжок часу.
• Практика: Вимагає періоду навчання системи і може генерувати більше хибних спрацьовувань, якщо "нормальна" поведінка мережі часто змінюється.

3. Аналіз стану протоколів (Stateful Protocol Analysis)

IDS/IPS відстежують стан мережевих протоколів (наприклад, TCP-рукостискання). Якщо бачать пакети, які порушують очікувану послідовність або стан (наприклад, SYN-ACK без попереднього SYN), це може бути ознакою сканування (наприклад, ACK-скану).

• Приклад: Отримання RST-пакета без встановленого TCP-з'єднання, або SYN-ACK без попереднього SYN.
• Практика: Ефективно для виявлення сканування, що використовує нестандартні флаги TCP.

4. Порігова детекція (Thresholding)

Цей метод встановлює ліміти на певні типи подій. Наприклад, якщо від однієї IP-адреси протягом 5 секунд приходить більше 20 SYN-пакетів на різні порти, це вважається скануванням.

• Приклад: Налаштування правила, що блокує IP-адресу після N спроб з'єднання до різних портів за M секунд.
• Практика: Вимагає тонкого налаштування порогів, щоб уникнути блокування легітимного трафіку (наприклад, при інтенсивній роботі якогось додатка або внутрішньої служби).

Практична реалізація: Налаштовуємо IDS/IPS

Давайте розглянемо, як це виглядає на практиці, використовуючи популярні рішення, такі як Snort або Suricata.

Приклад правила Snort/Suricata для виявлення SYN-скану

У Snort і Suricata є безліч готових правил для виявлення різних видів сканування портів. Ось спрощений приклад, як може виглядати правило для виявлення швидкого SYN-скану:

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"VALEBYTE - Potential SYN Port Scan Detected"; flags:S; flowbits:noalert; detection_filter:track by_src, count 20, seconds 5; sid:1000001; rev:1;)

Розберемо це правило:

• alert tcp: Генерувати оповіщення для TCP-трафіку.
• $EXTERNAL_NET any -> $HOME_NET any: Трафік йде з будь-якої точки зовнішньої мережі на будь-який порт нашої внутрішньої мережі.
• msg:"VALEBYTE - Potential SYN Port Scan Detected": Повідомлення, яке буде відображено при спрацьовуванні правила.
• flags:S: Шукати пакети зі встановленим флагом SYN (початок з'єднання).
• flowbits:noalert: Додаткова опція для управління станом потоків, тут вона не критична для розуміння.
• detection_filter:track by_src, count 20, seconds 5: Ключова частина для сканування. Відстежувати за вихідною IP-адресою (track by_src). Якщо від одного джерела прийде 20 SYN-пакетів на різні порти протягом 5 секунд, згенерувати оповіщення.
• sid:1000001: Унікальний ID правила.
• rev:1: Ревізія правила.

В IPS-режимі, замість alert можна використовувати drop або reject, щоб активно блокувати або скидати такі з'єднання:

drop tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"VALEBYTE - Blocking SYN Port Scan"; flags:S; flowbits:noalert; detection_filter:track by_src, count 20, seconds 5; sid:1000002; rev:1;)

Розгортання та налаштування

1. Вибір режиму: Для активного захисту від сканування портів IPS (inline) розгортання краще. Це означає, що весь трафік, який ви хочете захистити, повинен проходити через IPS.
2. Розміщення NIDS/NIPS:
   • На периметрі: Для захисту всієї мережі від зовнішніх сканерів.
   • Всередині мережі: Для моніторингу внутрішніх сегментів і виявлення внутрішніх загроз або скомпрометованих хостів.
3. Актуалізація правил: Регулярно оновлюйте бази сигнатур (наприклад, за допомогою Oinkmaster для Snort або через Suricata-Update). Нові методи сканування з'являються постійно.
4. Тонке налаштування правил: Відключіть надлишкові правила, які неактуальні для вашої інфраструктури. Увімкніть специфічні правила для захисту ваших сервісів.
5. Управління хибними спрацьовуваннями: Це критично для IPS. Уважно аналізуйте логи. Якщо легітимний трафік блокується, коригуйте правила, створюйте винятки (whitelists) для довірених IP-адрес (наприклад, IP-адрес ваших внутрішніх сканерів вразливостей або партнерів).
6. Інтеграція з SIEM: Відправляйте алерти IDS/IPS у вашу SIEM-систему (Splunk, ELK Stack, Graylog, Wazuh) для централізованого аналізу, кореляції подій і більш ефективного реагування.

Важливий момент: Whitelisting

Якщо ви регулярно проводите внутрішнє або зовнішнє сканування вразливостей (що вкрай рекомендується!), переконайтеся, що IP-адреси ваших сканерів додані до винятків (whitelist) в IDS/IPS. Інакше ваші ж системи безпеки будуть блокувати ваші ж тести, створюючи хибні спрацьовування і головний біль.

Обмеження і що ще потрібно врахувати

Хоча IDS/IPS потужні, вони не панацея і мають свої обмеження:

• Зашифрований трафік (HTTPS, SSH): IDS/IPS бачать тільки зашифрований трафік і не можуть аналізувати його вміст без SSL/TLS-інспекції (що само по собі складна тема з питаннями приватності та продуктивності). Сканування портів видно по метаданим (SYN-пакети), але не по вмісту.
• Повільні та розподілені скани: Зловмисники можуть використовувати дуже повільні скани (один пакет на хвилину) або розподілені скани з різних IP-адрес, щоб уникнути виявлення пороговими правилами.
• Хибні спрацьовування (False Positives): Занадто агресивні правила IPS можуть блокувати легітимний трафік, що призводить до простою сервісів. Це вимагає постійного моніторингу і тюнінгу.
• Обхід IDS/IPS (Evasion): Досвідчені атакуючі знають методи обходу IDS/IPS, такі як фрагментація пакетів, використання нестандартних портів, зміна TTL та інші техніки.

Саме тому захист від сканування портів, як і загальна кібербезпека, має бути багаторівневою:

• Надійний фаєрвол: Базовий захист на рівні фаєрволу, що закриває всі непотрібні порти.
• Мережева сегментація: Розділення мережі на ізольовані сегменти зменшує поверхню атаки.
• Регулярне оновлення ПЗ: Патчінг вразливостей – найкращий захист від їх експлуатації.
• Моніторинг логів: Системні логи, логи додатків, логи фаєрволів – все це важливі джерела інформації.
• Системи управління інформацією та подіями безпеки (SIEM): Централізований збір та аналіз логів з усіх систем допомагає виявляти складні атаки.
• Vulnerability Management: Регулярне сканування на вразливості вашої власної інфраструктури, щоб знати свої слабкі місця раніше зловмисників.

Висновки

Захист від сканування портів з використанням IDS/IPS — це не просто "приємне доповнення", а критично важливий компонент сучасної стратегії кібербезпеки. Ці системи дають нам можливість не тільки дізнатися про спроби розвідки, але й активно протидіяти їм, блокуючи зловмисників на самому ранньому етапі. Правильно налаштовані та постійно оновлювані IDS/IPS дозволяють значно зменшити поверхню атаки та підвищити загальну стійкість вашої серверної інфраструктури.

Однак пам'ятайте, що жодна технологія не є срібною кулею. IDS/IPS найбільш ефективні в рамках комплексного підходу до безпеки, що включає фаєрволи, мережеву сегментацію, регулярне оновлення ПЗ і постійний моніторинг. У Valebyte ми будуємо наші рішення саме на принципах багаторівневого захисту, щоб ви могли бути впевнені в збереженні своїх даних. Залишайтеся пильними, колеги, і до нових зустрічей!