Win2000 Server Intrusion Detection

Un servidor Win2000 bien configurado puede proteger contra más del 90% de las intrusiones e infiltraciones, pero como mencioné al final del capítulo anterior: La seguridad del sistema es un proceso continuo, junto con una nueva La aparición de vulnerabilidades y cambios en las aplicaciones de servidor, el estado de seguridad del sistema también cambia constantemente, al mismo tiempo, porque la ofensiva y la defensa son una unidad de contradicciones, el demonio a largo plazo y el diablo también cambian constantemente, por lo que el sistema es más sofisticado. Los administradores no pueden garantizar que un servidor que proporciona servicios nunca se verá comprometido durante mucho tiempo.

Por lo tanto, el servidor de configuración de seguridad no es el final del trabajo de seguridad, pero es el comienzo de un trabajo de seguridad largo y tedioso. En este artículo, inicialmente analizaremos las técnicas iniciales de detección de intrusos en el servidor Win2000, con la esperanza de ayudarlo a mantener el servidor durante mucho tiempo. Seguro

La detección de intrusiones mencionada en este artículo se refiere a la detección de las funciones del servidor Win2000 y el software /scripts escritos por el administrador del sistema. La técnica de uso de firewall o sistema de detección de intrusos (IDS) no se encuentra en este documento. Dentro del ámbito de la discusión.

Ahora supongamos que tenemos un servidor Win2000 Server y que hemos pasado por una configuración de seguridad preliminar (consulte la Guía de introducción a la configuración de seguridad del servidor Win2000 < 1 > para obtener detalles sobre la configuración de seguridad) La mayoría de los intrusos serán rechazados.
(Jaja, mi administrador puede irse a casa y dormir.) Lento, estoy hablando de la mayoría, no de todos. Después de la configuración de seguridad inicial, el servidor puede defender la mayor parte del script kid (familia de scripts, solo uso Alguien que escribió un programa para invadir el servidor), encontró un maestro real, todavía es vulnerable. Si bien el verdadero maestro no ingresa a los servidores de otras personas de manera casual, es difícil asegurarse de que varios maestros malvados malvados se hayan hecho una fantasía con su servidor.
(¿Realmente soy tan malo?) Además, a menudo hay un período de vacío entre el descubrimiento de vulnerabilidades y el lanzamiento de parches. Cualquiera que conozca la información de vulnerabilidad puede aprovecharla. En este momento, la tecnología de detección de intrusos es muy Importante

La detección de intrusión se basa principalmente en la aplicación. Si se proporciona el servicio correspondiente, debería haber un sistema de detección y análisis correspondiente para la protección. Para el anfitrión general, se debe prestar atención a lo siguiente: >

1, basado en la detección de intrusión de 80 puertos

El servicio WWW es probablemente uno de los servicios más comunes, y como este servicio se enfrenta a una gran cantidad de usuarios, el tráfico y la complejidad del servicio son muy altos, por lo que Las vulnerabilidades y técnicas de intrusión más vulnerables para este servicio. Para NT, IIS siempre ha sido un dolor de cabeza para los administradores de sistemas (no puedo esperar para cerrar el puerto 80), pero afortunadamente, la función de registro que viene con IIS puede ser un poderoso ayudante para la detección de intrusiones en cierta medida. El archivo de registro que viene con IIS se almacena en el directorio System32 /LogFiles de forma predeterminada. Por lo general, se desplaza en 24 horas. Se puede configurar en detalle en el Administrador de IIS.
(¿Cómo puedo coincidir contigo, pero si no grabas en detalle, no puedes encontrar la IP del intruso y no llorar).

Ahora asumamos (¿cómo supones que siempre estás molestando?) Urgente, realmente no puedo bloquear un host para escribir este artículo, por lo que debo asumir que asumimos un servidor WEB y abrimos el servicio WWW. Usted es el administrador del sistema de este servidor y lo configuré cuidadosamente. IIS, utilizando el formato de registro extendido W3C, y al menos el tiempo registrado (Hora), IP del cliente (IP del cliente), método (Método), recurso URI (raíz URI), consulta URI (consulta URI), estado del protocolo (Protocolo Estado), usamos la vulnerabilidad más popular de Unicode para el análisis: abra la ventana de IE, ingrese: 127.0.0.11/scripts/..%c1% 1c ../winnt /system32 /cmd.exe en la barra de direcciones? /c + dir De forma predeterminada, puede ver la lista de directorios (¿qué? ¿Ha realizado la configuración de seguridad, no puede verla? Restaurar la instalación predeterminada, tenemos que hacer un experimento), echemos un vistazo a los registros de IIS. Qué hay de nuevo, abra Ex010318.log (Ex significa formato extendido W3C, seguido de una cadena de números que representa la fecha del registro de registro): 07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /El registro sobre c + dir 200 indica que a las 07:42:58 GMT (es decir, 23:42:58 GMT), hay un tipo (intruso) que usa Unicode en su máquina desde la IP de 127.0.0.1. Vulnerabilidad (% c1% 1c se decodifica como " ", la situación real será ligeramente diferente debido a las diferentes versiones de idioma de Windows) Ejecute cmd.exe, el parámetro es /c dir, el resultado es exitoso (HTTP 200 significa correcto Regreso).
(Wow, el registro está realmente completo, no me atrevo a jugar Unicode de forma casual).

En la mayoría de los casos, los registros de IIS registrarán fielmente cualquier solicitud que reciba (también tienen IIS registra los ataques, de los que hablaremos más adelante, por lo que un buen administrador de sistemas debería ser bueno en esto para descubrir intentos de intrusión para proteger su sistema. Sin embargo, los registros de IIS son decenas de megabytes y el tráfico es incluso docenas de G. Es casi imposible verificarlos manualmente. La única opción es usar el software de análisis de registros para escribir un software de análisis de registros (de hecho, un filtro de texto) en cualquier idioma. Muy simple, pero considerando algunas situaciones reales (como el administrador no escribirá el programa, o el software de análisis de registro no se puede encontrar en el servidor), puedo decirle un método simple, digamos que quiere saber si alguien del puerto 80 Para intentar obtener su archivo Global.asa, puede usar el siguiente comando CMD: buscar " Global.asa " ex010318.log /i Este comando usa la herramienta integrada find.exe de NT (por lo que no puede encontrarlo en una emergencia) ), puede encontrar fácilmente la cadena que desea filtrar desde el archivo de texto, " Global.asa " es la cadena a consultar, ex010318.log es el archivo de texto a filtrar, /i significa ignorar el caso. Debido a que no tengo intención de escribir este artículo como un documento de Ayuda de Microsoft, revise el archivo de ayuda de Win2000 para conocer otros parámetros de este comando y el uso de su versión mejorada de FindStr.exe.