Jaringan berbasis sistem deteksi intrusi

Jaringan berbasis sistem deteksi intrusi (NIDSs) adalah jalan terbaik untuk memantau jaringan berdasarkan anomali yang bisa menunjukkan tanda-tanda serangan atau gangguan elektronik pada jaringan Anda. Dalam bab ini, kami mengeksplorasi kebutuhan NIDS dan mendiskusikan beberapa penawaran yang tersedia. Secara khusus, kita melihat perangkat komersial seperti BlackICE Pertahanan, serta sebuah alat open-source yang sangat populer disebut Snort. Kami juga membahas keuntungan yang terkait dengan membangun NIDS didistribusikan dan memberikan contoh signature khusus untuk penciptaan lingkungan jaringan Anda sendiri.

Perjalanan kita dimulai dari serangan jaringan tunggal dan berpuncak dengan banyak sekali upaya gangguan di dunia nyata. Tujuannya adalah untuk menampilkan Anda dengan pengetahuan yang diperlukan untuk memahami dasar-dasar deteksi intrusi dan untuk mencetuskan beberapa ide tentang bagaimana teknologi ini dapat digunakan pada jaringan Anda sendiri. Akhirnya, setelah membaca bab ini, Anda harus dapat membedakan antara pemindaian tidak berbahaya dan Pemindaian berbahaya dan bagaimana bereaksi dan merespons sesuai.

Serangan ancaman kebanyakan datang dari internetmendeteksi serangan ini memungkinkan sebuah situs untuk menyesuaikan pertahanan

jika kita mengkorelasikan data dari banyak sumber kita meningkatkan kemampuan kita

statistik bahwa 90% dari semua serangan yang dilakukan oleh orang dalam yang sudah mati keliru

Kebutuhan Jaringan berbasis Intrusion Detection

Serangan orang dalam dapat menyebabkan kerusakan yang lebih keuangan dari serangan pihak ketiga karena orang dalam memiliki pengetahuan yang mendalam tentang jaringan internal. Audit tradisional dan mekanisme keamanan dapat mengatasi ancaman dan organisasi dapat menuntut. Perhatian yang lebih besar meskipun sebaiknya serangan yang berasal dari Internet.

Volume serangan yang berasal dari jaringan publik (atau seharusnya!) Secara signifikan lebih tinggi daripada jumlah serangan yang berasal dari host internal. Serangan yang paling luar dapat dihentikan oleh firewall dikonfigurasi dengan benar. Namun, kita harus prihatin dengan serangan yang mampu melewati, atau menembus, perimeter luar. Anda mungkin akan bertanya apakah firewall dapat mencegah serangan banyak atau sebagian, maka mengapa kita perlu khawatir tentang beberapa yang membuatnya melalui? Alasannya sederhana: volume. Banyaknya serangan luar memukul jaringan Anda akhirnya akan mengambil tol mereka dan kompromi sistem. Ada pepatah yang mengatakan bahwa bahkan seekor tupai buta dapat menemukan kacang, dan yang dapat diterapkan ke jaringan perimeter. Serangan pada jaringan Anda, bahkan jika salah sasaran, pada akhirnya akan mengakibatkan aktivitas berbahaya melewati perimeter Anda dan menyebabkan kerusakan pada sistem Anda.

Dengan mendeteksi bahkan serangan paling jinak memukul perimeter jaringan kami, kami dapat menggunakan data untuk benar menyesuaikan pertahanan sistem kami dan mengurangi atau membuat sia-sia sebagian besar serangan. Sebagai kecanggihan serangan berbasis jaringan terus meningkat, kita berutang kepada diri kita sendiri untuk menggunakan NIDS untuk menyelidiki gangguan, menganalisis ancaman dan mempersiapkan penanggulangan dibutuhkan. Ada juga keuntungan yang berbeda menjadi mampu untuk mengkorelasikan data dari berbagai penyebaran NIDS untuk meningkatkan kemampuan kita dalam menanggapi berbagai serangan. Kami akan membahas korelasi acara kemudian dalam bab ini

Di dalam Serangan Jaringan

Beberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebih dikenal sebagai WinNuke. WinNuke mengirimkan sebuah paket tunggal dibuat khusus dengan data OOB ke port mendengarkan jarak jauh, TCP 139. Hal ini dikenal untuk kecelakaan versi Windows. (Perhatikan bahwa Out of Band adalah keliru, WinNuke benar-benar menggunakan bendera TCP Mendesak dan pointer mendesak.) Bahkan jika NetBIOS tidak diaktifkan, sistem rentan diserang oleh WinNuke biasanya akan mengalami ditakuti Meskipun ini "Blue Screen of Death." adalah alat serangan tanggal, itu pekerjaan yang sangat baik dalam menjelaskan konsep visual dari serangan berbasis jaringan. Hal ini juga harus dicatat bahwa masih ada jutaan Windows 95 mesin yang terkoneksi ke Internet. Adalah aman untuk mengatakan bahwa alat ini serangan masih bisa menurunkan mesin yang tak terhitung jumlahnya.

Di dalamnya Serangan Jaringan

Beberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebih dikenal sebagai WinNuke. WinNuke mengirimkan sebuah paket tunggal dibuat khusus dengan data OOB ke port mendengarkan secara jarak jauh, TCP 139. Hal ini dikenal untuk kecelakaan versi Windows. (Perhatikan bahwa Out of Band adalah keliru, WinNuke benar-benar menggunakan bendera TCP Mendesak dan pointer mendesak.) Bahkan jika NetBIOS tidak diaktifkan, sistem rentan diserang oleh WinNuke biasanya akan mengalami ditakuti Meskipun ini "Blue Screen of Death." adalah alat serangan tanggal, itu pekerjaan yang sangat baik dalam menjelaskan konsep visual dari serangan berbasis jaringan. Hal ini juga harus dicatat bahwa masih ada jutaan Windows 95 mesin yang terkoneksi ke Internet. Adalah aman untuk mengatakan bahwa alat ini serangan masih bisa menurunkan mesin yang tak terhitung jumlahnya.

Bagaimana kita menciptakan paket khusus yang mampu membawa Windows 95 bertekuk lutut? Jawabannya cukup sederhana, Nuke.eM. Nuke'em (ditampilkan dalam slide sebelumnya) bekerja dengan membentuk koneksi TCP dengan host remote dan memberikan paket ilegal. Ini tidak membutuhkan keahlian apapun dan dapat mengubah orang yang paling kompeten menjadi seorang hacker.

Screenshot sebelumnya menunjukkan bagaimana serangan Nuke.eM terdeteksi dan diblokir oleh Perlindungan PC BlackICE, firewall pribadi terkemuka komersial. Area yang disorot menggambarkan probe NetBIOS (Nuke.eM) terdeteksi dan berhasil diblok enam kali.

Kita bisa melihat bahwa NetBIOS pelabuhan penyelidikan dari alamat IP 192.168.1.100 terdeteksi dan diblokir oleh mesin firewall. Jendela Informasi di bagian bawah layar memberikan penjelasan singkat tentang serangan dan mengklik tombol "saran" ke kanan akan memberikan informasi lebih rinci.

catatanInternet Security Systems (ISS) mengakuisisi lini produk BlackICE pada bulan April 2001. PC Suite BlackICE perlindungan korban pertama mereka dari akuisisi baru mereka.

Oke, mari kita meringkas apa yang telah kita lihat seperti yang kita telah meneliti serangan jaringan tunggal. Kami telah mengidentifikasi kerentanan, cacat dalam pelaksanaan Microsoft jaringan. Kami telah menjelaskan cacat teknis dan menunjukkan salah satu alat penyerang yang mengambil keuntungan dari ancaman. Akhirnya, kita telah melihat deteksi dan alat perlindungan dalam tindakan. Sebenarnya, ini adalah contoh lain dari ancaman, penanggulangan, dan kontra-balasan. Winnuke itu menjatuhkan sistem kiri dan kanan dan Microsoft menanggapi dengan patch. Alih-alih memperbaiki masalah pertama kalinya, mereka merilis cepat hack. Para penyerang langsung membalas dengan modifikasi alat serangan mereka, akhirnya memaksa Microsoft untuk merilis patch lengkap yang cukup diselesaikan masalah awal.

Jaringan Intrusion Detection 101

Umumnya, ketika kita berpikir tentang menggunakan firewall pribadi, itu adalah untuk melindungi PC kita yang langsung terhubung ke Internet. Namun, kita tidak selalu berpikir tentang deteksi: Banyak personal firewall di pasaran saat ini memiliki kemampuan untuk memblokir serangan dan mereka juga dapat mendeteksi dan log serangan. Logging serangan memungkinkan seorang analis untuk mempelajari atribut serangan. Padahal, dengan meningkatnya tingkat instalasi broadband, firewall pribadi dengan kemampuan deteksi intrusi menjadi sensor jaringan yang sangat berharga bagi masyarakat IDS. Pusat Internet Storm memiliki klien gratis yang dapat digunakan bersama dengan firewall pribadi banyak dan sistem deteksi intrusi yang akan memungkinkan Anda untuk meng-upload log Anda ke situs mereka untuk penelitian lebih lanjut dan penyelidikan. Jika ingin cara untuk melakukan bagian Anda dan memberikan kembali kepada komunitas keamanan informasi, maka ini adalah kesempatan besar. Informasi lengkap tersedia dari situs web di http://isc.incidents.org.

Pentingnya Logging

Screen shot sebelumnya menggambarkan aktivitas di jaringan sangat sibuk dan bermusuhan. Kita bisa melihat berbagai serangan, termasuk ping nmap, probe port SNMP dan zona DNS transfer. Meskipun berguna untuk dapat melihat peristiwa secara real-time, bahkan lebih berguna untuk memiliki kemampuan untuk melihat peristiwa ini dengan protocol analyzer jaringan seperti Ethereal untuk mendapatkan pemahaman yang lebih baik tentang serangan itu dan bagaimana hal itu terjadi. Kebanyakan firewall pribadi mencakup fitur pencatatan yang harus diaktifkan untuk mendapatkan hasil maksimal dari produk.

Logging merupakan bagian integral dari deteksi intrusi. Mampu merujuk kembali ke log setelah peristiwa terjadi sangat berguna dari perspektif pembelajaran dan dalam kasus penuntutan pidana. Setelah log dari peristiwa yang menyebabkan kompromi akan menjadi aset berharga jika Anda mencari kerusakan atau penuntutan dari serangan jaringan atau sistem kompromi.

Dalam contoh ini, kami menunjukkan bagaimana mengaktifkan logging di personal firewall BlackICE. Pengaturan firewall mesin dikelola dari menu alat dan dapat dengan mudah diakses dari layar utama. Melihat sekeliling, kita dapat melihat beberapa tab yang memungkinkan Anda untuk mengubah fungsi dari firewall. Untuk tujuan kita, kita fokus pada Log evidence dan pilihan Packet Log.

Hal ini penting untuk memastikan bahwa penebangan diaktifkan pada tab Log Bukti. Sisanya cukup jelas, tetapi berguna untuk menggunakan tanda% pada akhir awalan berkas EVD. Menggunakan karakter khusus akan menambahkan cap tanggal / waktu untuk file-file log. Hal ini sangat membantu dalam acara yang Anda butuhkan untuk kembali dan mencari informasi untuk serangan yang terjadi pada waktu tertentu. Anda juga mungkin ingin menyesuaikan ukuran file maksimum dan jumlah maksimum pengaturan file untuk mencerminkan jaringan Anda.

Fitur lain yang berguna adalah tab Log paket, sehingga memungkinkan fitur Packet Log dari BlackICE memungkinkan Anda untuk menangkap semua lalu lintas yang datang di antarmuka menyimak. Hal ini dapat membuktikan sangat berharga ketika Anda perlu melakukan diagnosa jaringan atau hanya untuk belajar bagaimana jaringan Anda beroperasi pada berbagai titik dalam waktu. Namun, ingat bahwa dengan fitur ini diaktifkan, sejumlah besar ruang disk akan dikonsumsi untuk mengakomodasi semua lalu

lintas jaringan. Anda mungkin ingin menonton ruang disk yang tersisa ketika menggunakan fitur ini logging.

catatanBlackICE sering dianggap sebagai IDS berbasis host karena biasanya diinstal pada mesin individu, tapi mari kita berpikir tentang apa yang benar-benar melakukan - memantau lalu lintas jaringan. Sebuah HIDS tradisional memonitor file log, perubahan file, perubahan registry, dan hak-hak lainnya / izin dari sistem operasi host. Kami menggunakan BlackICE dalam bab ini untuk menggambarkan dasar-dasar jaringan berbasis sistem deteksi intrusi.

Melihat Log BlackICE

Ada kesalahpahaman umum bahwa BlackICE file log dapat dilihat hanya dengan menginstal aplikasi pihak ketiga komersial seperti VisualICE atau es. Meskipun add-on program melakukan pekerjaan yang besar parsing data dan membuat laporan tampak bagus, satu-satunya hal yang diperlukan adalah untuk melihat file dengan sebuah alat analisis paket yang tersedia. Dalam contoh sebelumnya, kami menggunakan sebuah program bernama Ethereal untuk melihat data. Ethereal, program paket gratis analisis adalah alat yang sangat baik untuk decoding dan menampilkan file BlackICE log. Dalam instalasi default BlackICE, file log yang terletak di

C:. \ Program files \ ISS \ BlackICE \% EVD * enc

catatanEthereal merupakan salah satu aplikasi pembunuh untuk bangkit dari gerakan open-

source. Hal ini dikelola oleh kelompok inti pengembang yang terus menambahkan fitur dan memperbarui program. Hal ini mudah digunakan, fleksibel, dan bebas untuk men-download. Saya dengan senang hati akan meletakkannya melawan setiap analyzer protokol yang tersedia secara komersial. Meskipun contoh kita adalah dasar, fitur lain dari Ethereal adalah senilai check-out. Ethereal dapat didownload di http://www.ethereal.com.

BlackICE Visualisasi Alat

Screenshot sebelumnya menunjukkan lonjakan aktivitas di jendela Acara yang merupakan hasil dari seseorang yang menyelidik jaringan ini. Ini memberikan kami ide mana harus mencari untuk menemukan data dalam file log bukti. Sebagai sedikit membantu, menemukan waktu perkiraan dari suatu peristiwa dan jika Anda kebetulan mencari scan, selalu melihat file terbesar pertama sejak port scan cenderung menghasilkan banyak lalu lintas.

Layar ini juga memungkinkan Anda untuk melihat tren jaringan selama periode menit, jam, atau hari dan dapat berguna dalam mempelajari seluk-beluk jaringan Anda. Sebagai contoh, sekali baseline telah ditetapkan, maka Anda dapat menggunakan layar ini untuk mencari setiap anomali yang tidak berkorelasi dengan pola lalu lintas jaringan yang biasa.

Kami menggunakan mesin berbasis host intrusion detection untuk mengkaji bagaimana fungsi jaringan serangan a. Sekarang bahwa Anda memiliki pemahaman dasar serangan berbasis jaringan, mari kita mengalihkan fokus kita ke NIDS.

Intrusion Detection Sistem libpcap Berbasis

Kebanyakan sistem intrusi berbasis jaringan deteksi berbasis libpcap. Libpcap merupakan paket open source menangkap perpustakaan yang dirancang untuk mengambil data dari kernel dan menyebarkannya ke lapisan aplikasi. Libpcap memiliki keuntungan menjadi bebas untuk menggunakan dan telah terbukti, sejak awal, menjadi sangat diandalkan. Produk yang menggunakan library Libpcap termasuk Shadow, Snort, Cisco IDS (sebelumnya NetRanger), dan NFR.

catatanInformasi lengkap, termasuk kode sumber untuk Libpcap dapat didownload di:http://www.tcpdump.org/. Jika Anda berjalan pada platform berbasis Windows, Anda sedang beruntung! Winpcap adalah versi Win32 dari Libpcap dan dapat diunduh dihttp://winpcap.polito.it/.

Pada diagram sebelumnya, Anda melihat sensor remote mengumpulkan data dan meneruskannya ke komputer lain untuk tampilan dan analisis. The Intrusion Detection System Bayangan menggunakan konfigurasi ini dan merupakan salah satu dari beberapa NIDS yang pada dasarnya menggunakan "bodoh" probe untuk meneruskan paket itu menangkap ke perangkat lain untuk diproses. Jika Sensor bayangan harus gagal atau entah bagaimana bisa dikompromikan, tidak ada informasi tentang situs akan hilang.

Jaringan Intrusion Detection dengan Snort

Snort adalah tagihan sebagai sistem deteksi intrusi jaringan ringan. Ini diperkenalkan kepada komunitas open-source pada tahun 1998 oleh pengembang, Marty Roesch. Snort

telah cepat memperoleh reputasi untuk menjadi solusi NIDS sangat efisien, ringan, dan rendah-biaya dan berutang popularitas dan fitur yang luas untuk tim dikhususkan pengembang inti dan basis pengguna aktif.

Desain Snort memungkinkan untuk integrasi yang mudah ke sebagian besar jaringan dan dapat dikonfigurasi untuk memantau beberapa situs, jaringan, atau interface dengan relatif mudah. Ini memiliki aturan untuk header isi paket decodes dan paket. Ini berarti dapat mendeteksi data-driven serangan seperti buffer overflow kesalahan, serta serangan terhadap URL yang rentan dan script (misalnya, RDS dan phf).

Karena Snort adalah open-source dan memiliki semacam komunitas pengguna aktif, itu adalah sistem yang ideal untuk belajar bagaimana menganalisis intrusi dan bereksperimen dengan konfigurasi yang berbeda. Ada banyak komunitas yang dikembangkan perangkat tambahan yang tersedia (kita bahas nanti dalam bab ini) dan bantuan hanya sebuah pesan e-mail jauhnya.

catatanSebuah sumber daya yang besar untuk mempelajari lebih lanjut tentang Snort adalah FAQ, yang tersedia di: http://www.snort.org/docs/faq.html. The FAQ secara aktif dipelihara dan menjelaskan banyak fitur dari Snort.

Menganalisis Snort sebuah Mendeteksi

Snort mendeteksi ditampilkan dalam file log, seperti yang ditunjukkan sebelumnya, dan

dipisahkan oleh baris kosong. Log adalah file flat, file teks juga disebut, dan memiliki keuntungan karena mudah untuk menyortir, pencarian, dan menganalisis. Keuntungan lain dari Snort log adalah kemampuan untuk memotong dan menyisipkan berbagai mendeteksi ke dalam pesan e-mail yang akan dikirim ke analis lain, CIRT Anda, atau pihak yang bersalah. Fitur ini sendiri tidak tersedia dalam produk komersial banyak.

Dalam contoh ini, Anda akan melihat bahwa nama mendeteksi, RPC Query Info, terdaftar di bagian atas dan ringkasan informasi yang diberikan di bawah ini. Tiga baris terakhir menunjukkan payload yang sebenarnya dari serangan tertentu. Prosedur panggilan remote (RPC) serangan seperti ini adalah bagian dari daftar Top FORESEC Dua puluh (http://www.foresecacademy.com/top20/) dan dapat menunjukkan potensi kerentanan pada jaringan Anda. Bayar perhatian khusus untuk semua nol dalam payload. Hal ini karena RPC paket yang empuk untuk 32-bit kata-kata, sering untuk membawa bidang yang hanya memiliki pilihan tunggal bilangan bulat, sehingga angka nol merupakan indikasi Remote Procedure Calls. Item lain layak disebutkan adalah string hex, 01 86 A0 00 00 00 02 00 00 00 04. Ini adalah string untuk perintah rpcinfo-p yang berisi daftar RPC port yang tersedia pada host remote.

Menulis Aturan Snort

Snort menyediakan kemampuan untuk membuat aturan adat, atau tanda tangan, untuk menyaring konten yang spesifik. Kode sumber dikompilasi menyediakan ratusan pra-tertulis aturan. Namun, mungkin ada saat-saat ketika Anda perlu membuat aturan yang tidak disertakan secara default. Mengingat dunia yang serba cepat deteksi intrusi dan bahwa ancaman baru yang dirilis pada hari, kemampuan untuk cepat menulis aturan adat sering dapat membuat atau menghancurkan karir Anda sebagai keamanan informasi yang profesional!

Aturan Snort sederhana untuk menulis namun cukup kuat untuk menangkap jenis sebagian besar lalu lintas. Ada lima pilihan untuk diingat ketika menulis aturan:

• Pass - Ini berarti Anda ingin drop paket dan mengambil tindakan apapun.

• Log - Pilihan ini memungkinkan Anda untuk log tindakan tertentu ke lokasi yang Anda tentukan dalam file konfigurasi snort Anda (misalnya snort.conf).

*Tanda - Pilihan ini memungkinkan Anda untuk mengirimkan alert ke server syslog pusat, jendela pop-up melalui SMB atau menulis file ke file terpisah waspada. File waspada umumnya digunakan dengan alat seperti Swatch (Watcher Sederhana) untuk mengingatkan analis untuk tanda-tanda intrusi atau elektronik gangguan. Setelah peringatan tersebut dikirim, paket yang login.

• Aktifkan - Opsi ini menentukan bahwa Snort adalah untuk mengirim peringatan dan kemudian mengaktifkan aturan lain yang dinamis. Misalnya, Snort dapat dikonfigurasi untuk secara dinamis memblokir