Introducción detallada sobre el sistema win 2003 IDS construction

Hay usuarios en el sistema win 2003 que incluirán una tecnología llamada IDS. En algunos casos, esta tecnología es muy importante, por supuesto, los medios técnicos de IDS. No es muy misterioso. A continuación, este artículo presentará un marco de nivel de entrada IDS más simple con una vena de "éxito". Desde la perspectiva de la distribución del mercado y la dificultad para comenzar, es más apropiado elegir NIDS como ejemplo para la implementación. Este artículo utiliza la plataforma Windows completa para ejecutar todo el proceso de detección de intrusiones. Debido a las limitaciones de espacio, se establece en términos de análisis cualitativo.

Requisitos previos

IDS: Sistema de detección de intrusos, una combinación inteligente de software y hardware para el análisis de detección de intrusos mediante la recopilación de información del sistema de red.

Dos organizaciones que trabajan en la estandarización de IDS: Grupo de trabajo de detección de intrusos (IDWG, Grupo de trabajo de detección de intrusos) y el Marco común de detección de intrusos (CIDF), los creadores de estándares de Internet .

Clasificación IDS: IDS de red (basado en red), IDS basado en host (basado en host), IDS híbrido (híbrido), IDS de consola (consola), Comprobadores de integridad de archivos (verificador de integridad de archivos), Honeypots (honeypots). Sistema de generación de eventos

De acuerdo con CIDF, se describe la idea general del modelo del Sistema de detección de intrusos (IDS). El componente de detección de intrusos más simple se muestra en la figura. De acuerdo con la especificación CIDF, los datos que IDS necesita analizar se denominan colectivamente como un Evento. El Evento puede ser Paquetes de Datos en la red, o Información obtenida de otros métodos como el Registro del Sistema.

Sin flujo de datos (o los datos se recopilan), IDS es una madera sin raíces, completamente inútil.

Como la organización de base de IDS, el sistema de generación de eventos puede desempeñar un papel importante, recopila todos los eventos definidos y luego los difunde a otros componentes. En el entorno de Windows, la práctica básica actual es utilizar Winpcap y WinDump.

Como usted sabe, para la generación de eventos y los sistemas de análisis de eventos, las plataformas Linux y Unix son ampliamente utilizadas. De hecho, en las plataformas Windows, existen Libpcaps similares (que son Unix o Linux para capturar datos de red desde el kernel). La herramienta para el software imprescindible del paquete es Winpcap.

Winpcap es una API de interfaz de red gratuita basada en Windows que configura la tarjeta de red en modo "mixto" y luego recorre los paquetes capturados por la red. La tecnología es simple de implementar, portátil y no tiene nada que ver con la tarjeta de red, pero la eficiencia no es alta, adecuada para redes de menos de 100 Mbps

La herramienta de detección de redes correspondiente basada en Windows es WinDump (plataforma Linux /Unix) Tcpdump es una versión portada de Windows. Este software debe basarse en la interfaz de Winpcap (aquí alguien llama Winpcap: Controlador de detección de datos). Usando WinDump, puede mostrar el encabezado del paquete que coincide con la regla. Puede usar esta herramienta para encontrar problemas de red o monitorear el estado de la red, y para monitorear efectivamente la seguridad y el comportamiento inseguro de la red hasta cierto punto.

Estos dos programas están disponibles de forma gratuita en Internet, y los lectores también pueden ver los tutoriales relacionados con el uso del software.

La siguiente es una breve introducción a los pasos para establecer la detección y adquisición de eventos.

1. Software de ensamblaje y sistema de hardware. De acuerdo con la actividad de la red, se decide si usar una máquina compatible común o un servidor dedicado con mayor rendimiento: si instala el sistema operativo Windows NT básico, se recomienda usar Windows Server 2003 Enterprise Edition. Si no se cumplen las condiciones, puede usar Windows 2000 Advanced Server. El formato de partición se recomienda para el formato NTFS.

2, la división de espacio del servidor debe ser razonable y efectiva, la instalación del programa, el almacenamiento del registro de datos, el espacio entre los dos se coloca mejor en particiones diferentes.

3, Implementación simple de Winpcap. Primero instale su controlador, puede descargar el instalador automático de WinPcap (Controlador + DLL) desde su página de inicio o sitio de réplica e instalarlo directamente.

Nota: si está desarrollando con Winpcap, también necesitará descargar el paquete para desarrolladores.

WinPcap consta de tres módulos: el primer módulo, NPF (Netgroup Packet Filter), es un archivo VxD (controlador de dispositivo virtual). Su función es filtrar los paquetes y pasarlos al módulo de modo de usuario intacto. El segundo módulo, package.dll, proporciona una interfaz común a la plataforma Win32, construida sobre packet.dll, proporcionando un método de programación más conveniente y sencillo. El tercer módulo Wpcap.dll no depende de ningún sistema operativo, es la biblioteca de enlaces dinámicos subyacente, proporciona funciones abstractas de alto nivel. Las instrucciones específicas de uso se encuentran en todos los sitios web principales. Cómo utilizar mejor Winpcap requiere una capacidad sólida de programación en C.

4, la creación de WinDump. Después de la instalación, ejecute en el modo de solicitud de comando de Windows, el usuario puede ver el estado de la red, que no se describirá.

La detección y adquisición de eventos se puede lograr sin problemas de compatibilidad de software, instalación y configuración.