Windows Server 2003 SP2 construye detalles del proceso IDS

En realidad, el precio de los productos IDS más populares en el mercado varía de cientos de miles a millones, y este queso relativamente caro es ampliamente criticado, lo que resulta en: El resultado es: las pymes en general no tienen la capacidad de implementar productos IDS, su energía se colocará en el enrutador, firewall y el refuerzo del interruptor de tres capas, aunque muchas empresas grandes y medianas ya han aplicado productos IDS, pero defectos naturales IDS Causa que parezca ser inefectivo. Pero no podemos estar cansados ​​de esto, porque IDS es un proceso necesario. Es probable que IPS con la función IDS reemplace completamente la posición dominante de los IDS únicos en unos pocos años. Desde la defensa pasiva a la activa es la tendencia general. De hecho, los medios técnicos de IDS no son muy misteriosos. A continuación, este artículo presentará un marco de nivel de entrada IDS más simple con una vena de "evitar las vides". Desde la perspectiva de la distribución del mercado y la dificultad para comenzar, es más apropiado elegir NIDS como ejemplo para la implementación. Este artículo utiliza la plataforma Windows completa para ejecutar todo el proceso de detección de intrusiones. Debido a las limitaciones de espacio, se establece en términos de análisis cualitativo.

Requisitos previos

IDS: Sistema de detección de intrusos, una combinación inteligente de software y hardware para el análisis de detección de intrusos mediante la recopilación de información del sistema de red.

Dos organizaciones que trabajan en la estandarización de IDS: Grupo de trabajo de detección de intrusos (IDWG, Grupo de trabajo de detección de intrusos) y el Marco común de detección de intrusos (CIDF), los creadores de estándares de Internet .

Clasificación IDS: IDS de red (basado en red), IDS basado en host (basado en host), IDS híbrido (híbrido), IDS de consola (consola), Comprobadores de integridad de archivos (verificador de integridad de archivos), Honeypots (honeypots). Sistema de generación de eventos

De acuerdo con CIDF, se describe la idea general del modelo del Sistema de detección de intrusos (IDS). El componente de detección de intrusos más simple se muestra en la figura. De acuerdo con la especificación CIDF, los datos que IDS necesita analizar se denominan colectivamente como un Evento. El Evento puede ser Paquetes de Datos en la red, o Información obtenida de otros métodos como el Registro del Sistema.

Sin flujo de datos (o los datos se recopilan), IDS es una madera sin raíces, completamente inútil.

Como la organización de base de IDS, el sistema de generación de eventos puede desempeñar un papel importante, recopila todos los eventos definidos y luego los difunde a otros componentes. En el entorno de Windows, la práctica básica actual es utilizar Winpcap y WinDump.

Como usted sabe, para la generación de eventos y los sistemas de análisis de eventos, las plataformas Linux y Unix son ampliamente utilizadas. De hecho, en las plataformas Windows, existen Libpcaps similares (que son Unix o Linux para capturar datos de red desde el kernel). La herramienta para el software imprescindible del paquete es Winpcap.

Winpcap es una API de interfaz de red gratuita basada en Windows que configura la tarjeta de red en modo "mixto" y luego recorre los paquetes capturados por la red. La tecnología es simple de implementar, portátil y no tiene nada que ver con la tarjeta de red, pero la eficiencia no es alta, adecuada para redes de menos de 100 Mbps

La herramienta de detección de redes correspondiente basada en Windows es WinDump (plataforma Linux /Unix) Tcpdump es una versión portada de Windows. Este software debe basarse en la interfaz de Winpcap (aquí alguien llama Winpcap: Controlador de detección de datos). Usando WinDump, puede mostrar el encabezado del paquete que coincide con la regla. Puede usar esta herramienta para encontrar problemas de red o monitorear el estado de la red, y para monitorear efectivamente la seguridad y el comportamiento inseguro de la red hasta cierto punto.

Estos dos programas están disponibles de forma gratuita en Internet, y los lectores también pueden ver los tutoriales relacionados con el uso del software.

La siguiente es una breve introducción a los pasos para establecer la detección y adquisición de eventos.

1. Software de ensamblaje y sistema de hardware. Dependiendo de la actividad de la red, se decide si usar una máquina compatible común o un servidor dedicado con mayor rendimiento: si instala el sistema operativo Windows del núcleo NT, se recomienda usar Windows Server 2003 Enterprise Edition. Si no se cumplen las condiciones, puede usar Windows 2000 Advanced Server. El formato de partición se recomienda para el formato NTFS.

2, la división de espacio del servidor debe ser razonable y efectiva, la instalación del programa, el almacenamiento del registro de datos, el espacio entre los dos se coloca mejor en particiones diferentes.

3, Implementación simple de Winpcap. Primero instale su controlador, puede descargar el instalador automático de WinPcap (Controlador + DLL) desde su página de inicio o sitio de réplica e instalarlo directamente.

Nota: si está desarrollando con Winpcap, también necesitará descargar el paquete para desarrolladores.

WinPcap consta de tres módulos: el primer módulo, NPF (Netgroup Packet Filter), es un archivo VxD (controlador de dispositivo virtual). Su función es filtrar los paquetes y pasarlos al módulo de modo de usuario intacto. El segundo módulo, package.dll, proporciona una interfaz común a la plataforma Win32, construida sobre packet.dll, proporcionando un método de programación más conveniente y sencillo. El tercer módulo Wpcap.dll no depende de ningún sistema operativo, es la biblioteca de enlaces dinámicos subyacente, proporciona funciones abstractas de alto nivel. Las instrucciones específicas de uso están disponibles en todos los sitios web importantes. Cómo utilizar mejor Winpcap requiere una capacidad sólida de programación en C.

4, creación de WinDump. Después de la instalación, ejecute en el modo de solicitud de comando de Windows, el usuario puede ver el estado de la red, que no se describirá.

La detección y adquisición de eventos se puede lograr sin problemas de compatibilidad de software, instalación y configuración. Sistema de análisis de eventos Dado que la mayoría de nuestras redes están conectadas por conmutadores Ethernet conmutados, el propósito de establecer un sistema de análisis de eventos es detectar múltiples dispositivos de firewall de red y múltiples métodos de adquisición (como la recopilación de datos basada en Snmp y Syslog). Soporte de registro y proporciona ciertas funciones de procesamiento de registro de eventos, estadísticas, análisis y consulta.

El sistema de análisis de eventos es el módulo principal de IDS. La función principal es analizar diversos eventos y descubrir los comportamientos de violación de las políticas de seguridad. La forma de establecerlo es el punto clave y la dificultad. Si puede trabajar con alguien para escribir un sistema de software, debe estar preparado para un desarrollo previo riguroso, como una comprensión clara de los protocolos de red, los ataques de piratas informáticos, las vulnerabilidades del sistema y luego comenzar a desarrollar reglas y estrategias, que deben basarse en la tecnología estándar. Estándares y especificaciones, luego optimice el algoritmo para mejorar la eficiencia de ejecución, construya un modelo de prueba y simule el proceso de análisis y ataque.

El sistema de análisis de eventos reside en el segmento de red de monitoreo y generalmente lo analiza a través de tres medios técnicos: comparación de patrones, análisis de protocolos y análisis de comportamiento. Cuando se detecta un patrón de mal uso, se genera un mensaje de advertencia correspondiente y se envía al sistema de respuesta. Por el momento, el análisis de protocolo es la mejor manera de detectar en tiempo real.

Una posible forma de este sistema es que el analizador de protocolos sea el cuerpo principal, que se puede construir sobre la base del kit de herramientas de análisis de protocolos abierto, disponible en el mercado, que puede mostrar el flujo de transporte de red a nivel de paquete, basado en la red. Las alertas a las reglas de protocolo se analizan automáticamente para detectar rápidamente la presencia de un ataque, por lo que los programadores y administradores de la red pueden monitorear y analizar la actividad de la red para detectar y localizar proactivamente las fallas. Los usuarios pueden probar un analizador de protocolo de red gratuito llamado Ethereal, que es compatible con los sistemas Windows. El usuario puede analizar los datos guardados en el disco duro después de ser capturados por el sistema de generación de eventos. Puede navegar interactivamente por los paquetes capturados y ver el resumen y los detalles de cada paquete. Ethereal tiene una variedad de potentes funciones, como la compatibilidad con casi todos los protocolos, los lenguajes de filtro enriquecidos, los flujos de datos reconfigurados de la sesión TCP y mucho más.

Sistema de respuesta

El sistema de respuesta es un sistema interactivo para personas y cosas. Se puede decir que es la estación de transferencia y coordinación de todo el sistema. La persona es el administrador del sistema y el objeto son todos los demás componentes. En detalle, el coordinador del sistema de respuesta tiene mucho que hacer: registrar eventos de seguridad, generar información de alarmas (como el formulario de correo electrónico), registrar registros adicionales, aislar a los intrusos, finalizar procesos y prohibir víctimas de acuerdo con definiciones predeterminadas. El puerto y el servicio, incluso en contra de la marcha, pueden tomar una respuesta manual y una respuesta automática (respuesta basada en la máquina), la combinación de los dos será mejor.

Elementos de diseño del sistema de respuesta

(1) Acepte la información de alarma de eventos filtrada, analizada y reconstruida desde el sistema de generación de eventos por el sistema de análisis de eventos, y luego consulte al usuario (administrador) de manera interactiva y Hacer juicios de reglas y tomar acciones de manejo.

(2) Proporcionar a los administradores una interfaz para administrar el sistema de base de datos de eventos, modificar la base de reglas, configurar políticas de seguridad, leer y escribir sistemas de base de datos según los diferentes entornos de red.

(3) Al actuar en el sistema de aplicaciones para el usuario, puede administrar el sistema de análisis y generación de eventos (en conjunto llamado detector de eventos), clasificar y filtrar los eventos recopilados, detectados y analizados por el sistema, que pueden usarse para diferentes condiciones de seguridad. Re-barajar las reglas de seguridad.

Los sistemas de respuesta y los detectores de eventos generalmente se implementan como aplicaciones.

Idea de diseño: el sistema de respuesta se puede dividir en dos partes del programa, monitoreo y control. La parte de escucha está vinculada a un puerto libre, recibe los resultados del análisis y otra información enviada desde el detector de eventos, y convierte el archivo almacenado en el sistema de base de datos de eventos, ya que un administrador puede llamar a operaciones de solo lectura, modificación y especiales según los permisos del usuario. La parte de control puede usar GTK + para escribir la GUI y desarrollar una interfaz gráfica de usuario más intuitiva. El propósito principal es brindar al usuario una interfaz más conveniente y amigable para ver información de advertencia.

Sistema de base de datos de eventos

En Windows, aunque Access es más fácil de dominar, construir con SQL Server 2000 es más efectivo que Access y no es muy difícil comenzar. Las funciones principales de este sistema son: registrar, Almacene y reorganice la información del evento para que los administradores la vean y utilicen para revisión de ataques y análisis forense.

Este sistema es relativamente simple de construir, utilizando solo algunas de las funciones básicas del software de base de datos.

Para coordinar la comunicación intencionada entre componentes, cada componente debe ser capaz de comprender correctamente la semántica de los diversos datos que se transmiten entre sí. Se puede construir un modelo de 3 capas refiriéndose al mecanismo de comunicación de CIDF. Preste atención a la interoperabilidad entre los componentes para garantizar la seguridad, la eficiencia y la suavidad.

La integración continuará en el trabajo de seguimiento y la funcionalidad de cada componente continuará mejorando. Se construye un marco IDS básico basado en Windows. Si cumple con las condiciones de la red, intente hacer su propio queso. Hay una dulzura indescriptible después del trabajo.