Windows2000 Server Intrusion Monitoring

  

El tutorial de Win2003_2000 que está viendo es: Windows2000 Server Intrusion Monitoring.

Win2000 Server Intrusion Monitoring La configuración de seguridad del servidor Win2000, después de una configuración cuidadosa del servidor Win2000, puede defenderse contra más del 90% de intrusión y penetración, pero la seguridad del sistema es un proceso continuo, con la aparición de nuevas vulnerabilidades y servidores La aplicación cambia, el estado de seguridad del sistema también cambia constantemente, al mismo tiempo, porque la ofensiva y defensiva es una unidad contradictoria, el Tao Xiaomao y los Diablos cambian constantemente, por lo que el administrador del sistema no puede garantizar Un servidor que proporciona servicios nunca se verá comprometido durante mucho tiempo.
Por lo tanto, el servidor de configuración de seguridad no es el fin de la seguridad, sino que es más bien el comienzo de un trabajo de seguridad a largo tedioso, que explorará las técnicas preliminares de detección de intrusión servidor Win2000, con la esperanza de ayudar a que el mantenimiento a largo plazo de la seguridad del servidor . detección de intrusos
se refiere a la detección utilización servidor Win2000 funciones propias y los administradores del sistema para escribir su propio software /escritura, y el uso de un cortafuegos (Firewall) o la técnica de sistema de detección de intrusiones (IDS) no se discute en este artículo Dentro del ámbito de aplicación.
Ahora supongamos: Tenemos un servidor servidores Win2000, y a través de la configuración de seguridad inicial (Para más detalles sobre la configuración de seguridad se pueden encontrar en Win2000 entrada < configuración de seguridad del servidor; un designtimesp = 26230 >), en cuyo caso A continuación, la mayoría de los intrusos serán rechazados, lento, estoy hablando de la mayoría, no de todos, después de que la configuración de seguridad inicial del servidor pueda proteger la mayor parte del script kid (familia de scripts; solo use otros La persona que escribió el programa para invadir el servidor), se encontró con un maestro real, todavía es vulnerable. Si bien el verdadero maestro no ingresa a los servidores de otras personas de manera casual, es difícil asegurarse de que varios maestros malvados malvados se hayan hecho una fantasía con su servidor.
(¿Realmente soy tan malo?) Además, a menudo hay un período de vacío entre el descubrimiento de vulnerabilidades y el lanzamiento de parches. Cualquiera que conozca la información de vulnerabilidad puede aprovecharla. En este momento, la tecnología de detección de intrusos es muy Importante detección de intrusos
dependiendo principalmente de la aplicación para proporcionar un servicio correspondiente debe tener el sistema de pruebas y análisis apropiado para ser protegido, por el anfitrión promedio, el principal debe observar los siguientes aspectos:

1, basado en la detección del servicio WWW
80 puertos invasión es probablemente uno de los servicios más comunes, y por el servicio frente a la mayoría de los usuarios, el tráfico del servicio y la complejidad son altos, por lo Las vulnerabilidades y técnicas de intrusión más vulnerables para este servicio. Para NT, IIS siempre ha sido un dolor de cabeza para los administradores de sistemas (no puedo esperar para cerrar el puerto 80), pero afortunadamente, la función de registro que viene con IIS puede ser un poderoso ayudante para la detección de intrusiones en cierta medida. El archivo de registro que viene con IIS se almacena en el directorio System32 /LogFiles de forma predeterminada. Por lo general, se desplaza en 24 horas. Se puede configurar en detalle en el Administrador de IIS.
(No me importa qué tan específico con usted, pero si lo hace registros no detalladas, descubriendo IP del intruso volver de tiempo para llorar)
ahora vamos a suponer que (los supuestos cómo viejos Sí, hacer problemas no problemas?) No lo hacen Urgente, realmente no puedo bloquear un host para escribir este artículo, por lo que debo asumir que asumimos un servidor WEB y abrimos el servicio WWW. Usted es el administrador del sistema de este servidor y lo configuré cuidadosamente. IIS, utilizando el formato de registro extendido W3C, y al menos el tiempo registrado (Hora), IP del cliente (IP del cliente), método (Método), recurso URI (raíz URI), consulta URI (consulta URI), estado del protocolo (Protocolo Estado), usamos la vulnerabilidad Unicode más popular para el análisis: abra la ventana de IE, ingrese: 127.0.0.11/scripts/..%c1%1c../winnt/system32/cmd.exe en la barra de direcciones? /c + dir De forma predeterminada, puede ver la lista de directorios (¿qué? ¿Ha realizado la configuración de seguridad, no puede verla? Restaurar la instalación predeterminada, tenemos que hacer un experimento), echemos un vistazo a los registros de IIS. Qué hay de nuevo, abra Ex010318.log (Ex significa formato extendido W3C, seguido de una cadena de números que representan la fecha del registro de registro): 07:42:58 127.0.0.1 GET /scripts /..../winnt /system32cmd.exe /El registro sobre c + dir 200 indica que a las 07:42:58 GMT (es decir, 23:42:58 GMT), hay un tipo (intruso) que usa Unicode en su máquina desde la IP de 127.0.0.1. Vulnerabilidad (% c1% 1c se decodifica como "", la situación real será ligeramente diferente debido a las diferentes versiones de idioma de Windows) Ejecute cmd.exe, el parámetro es /c dir, el resultado es exitoso (HTTP 200 significa retorno correcto) .
(Vaya, los registros tienen que ser realmente completa, después de una jugada sucia Unicode indeciso) bajo
mayoría de los casos, registro de IIS registrará fielmente cualquier solicitud que recibe (que no es especial IIS registra los ataques, de los que hablaremos más adelante, por lo que un buen administrador de sistemas debería ser bueno en esto para descubrir intentos de intrusión para proteger su sistema. Sin embargo, los registros de IIS son decenas de megabytes y el tráfico es incluso docenas de G. Es casi imposible verificarlos manualmente. La única opción es usar el software de análisis de registros para escribir un software de análisis de registros (de hecho, un filtro de texto) en cualquier idioma. Muy simple, pero considerando algunas situaciones reales (como el administrador no escribirá el programa, o el software de análisis de registro no se puede encontrar en el servidor), puedo decirle un método simple, digamos que quiere saber si alguien del puerto 80 Para intentar obtener su archivo Global.asa, puede usar el siguiente comando CMD: buscar "Global.asa" ex010318.log /i Este comando usa la herramienta integrada find.exe (por lo que no puede encontrarlo en una emergencia) Puede encontrar fácilmente la cadena que desea filtrar desde el archivo de texto, "Global.asa" es la cadena a consultar, ex010318.log es el archivo de texto a filtrar, /i significa ignorar el caso. Debido a que no tengo intención de escribir este artículo como un documento de Ayuda de Microsoft, revise el archivo de ayuda de Win2000 para conocer otros parámetros de este comando y el uso de su versión mejorada de FindStr.exe.
ya sea basado en el software de análisis de registros o Encontrar comando, se puede crear una lista de productos sensibles de cadenas que contiene las vulnerabilidades de IIS existentes (tales como "+ .htr") y el futuro será pueden aparecer lagunas Los recursos llamados (como Global.asa o cmd.exe), al filtrar esta tabla de cadenas constantemente actualizada, puede comprender las acciones del intruso lo antes posible.
necesitan que se les recuerde que el uso de cualquier software de análisis de registros se llevará a algunos recursos del sistema, por lo tanto, IIS análisis de logs para una tarea de prioridad tan baja se realiza de forma automática sería más apropiado en la noche cuando está en reposo, si la escritura Un script que envía el texto sospechoso filtrado al administrador del sistema es aún más perfecto. Al mismo tiempo, si la tabla de cadenas sensibles es grande y la estrategia de filtrado es complicada, sugiero que es más rentable escribir un programa especial en C.
2, basado en la detección de registro de seguridad
IIS detección basada en registros de intrusos a través, podemos saber el paradero de los espectadores con antelación (si está tratando con mala conducta, viendo por los que han convertido a los invasores en cualquier momento) Sin embargo, los registros de IIS no son omnipotentes. Ni siquiera pueden registrar intrusiones desde el puerto 80 bajo ciertas circunstancias. Según mi análisis del sistema de registro de IIS, IIS solo escribirá registros después de que se complete una solicitud, en otras palabras, si se realiza una solicitud. Si falla a mitad de camino, no habrá rastro en el archivo de registro (el error aquí no es el caso del error HTTP400, pero la solicitud HTTP no se completa desde la capa TCP, como una interrupción anormal cuando la POST es una gran cantidad de datos). Para los intrusos, es posible omitir el sistema de registro para completar una gran cantidad de actividades.
Por otra parte, para no 80 Sólo el anfitrión, el intruso puede acceder al servidor desde otros servicios, por lo tanto, es necesario establecer un sistema integral de monitoreo de seguridad.
Win2000 viene con una muy fuerte privilegios del sistema de registro de seguridad del usuario para iniciar sesión en los registros han muy detalladas, por desgracia, la instalación por defecto es cerrado bajo la auditoría de seguridad que algunos anfitriones son negro Después de eso, no hay manera de rastrear a los intrusos. Por lo tanto, el primer paso que tenemos que hacer es abrir las auditorías necesarias en Herramientas administrativas - Política de seguridad local - Políticas locales - Política de auditoría. En general, los eventos de inicio de sesión y la administración de cuentas son los eventos que más nos interesan, al tiempo que abrimos éxitos y fracasos. La auditoría es necesaria, y otras auditorías también deben abrir una auditoría fallida, lo que puede hacer al intruso difícil y desafortunado. El solo hecho de abrir la auditoría de seguridad no resuelve completamente el problema. Si el tamaño y la cobertura del registro de seguridad no están bien configurados, un intruso sofisticado puede cubrir su verdadero paradero a través de solicitudes de intrusión falsas similares a inundaciones. Normalmente, esto puede evitar especificar el tamaño del registro de seguridad a 50 MB y permitir que solo el registro tenga más de 7 días de antigüedad. registro de seguridad
no está configurado para revisar el registro de seguridad no se ha establecido con casi tan malo (la única ventaja es que puede rastrear el intruso en la oscuridad), por lo tanto, desarrollar un registro de seguridad del mecanismo de inspección también es muy importante Como registro de seguridad, el tiempo de verificación recomendado es todas las mañanas. Esto se debe a que al intruso le gusta la acción nocturna (velocidad más rápida, o si no puede siquiera llegar a la mitad cuando invade, pero no puede llorar cuando llora) Lo primero es ver si el registro es anormal, y luego puede estar seguro de hacer otra cosa. Si lo desea, puede escribir una secuencia de comandos para el registro de seguridad como el correo enviado a usted todos los días (no cree esto, y si ha cambiado lo que la escritura principal hacia arriba, enviar "sin incidentes" ...... días)
Además del registro de seguridad, el registro del sistema y el registro de la aplicación también son muy buenas herramientas de monitoreo auxiliar. En general, el intruso deja una marca en el registro de seguridad (si obtiene el permiso de administrador, definitivamente eliminará el rastro). También habrá pistas en los registros del sistema y de la aplicación. Como administrador del sistema, no debe haber actitudes anormales, por lo que es difícil que los intrusos oculten su paradero.
3, registro de acceso a archivos y la protección de los archivos críticos
además de las auditorías de seguridad por defecto del sistema de archivos críticos, además de que han establecido un archivo de registro de acceso, el acceso a sus registros.
Hay muchas opciones de acceso a archivos: acceder, modificar, ejecutar, crear, cambios de propiedad ...... En general, la preocupación será capaz de acceder y modificar la vigilancia ha jugado un papel importante.
Por ejemplo, si hacemos un seguimiento de los cambios en el directorio del sistema, crear, o incluso el acceso a algunos documentos importantes (como cmd.exe, España

Copyright © Conocimiento de Windows All Rights Reserved