IDS ( Intrusion Detection System )

Pengenalant
n Detection Prinsip deteksi intrusi bukanlah hal yang baru. Sebagai contoh
Apakah itu alarm mobil atau sirkuit tertutup televisi, detektor gerakan atau
analisa log, banyak orang
dengan kepentingan
maupun aset untuk
melindungi memiliki
kepentingan dalam hal ini
banyak orang yang
tidajk punya wewenang
tatau tidak berhak adalah mereka menyelidik pertahanan, menilai aset mereka,
atau melarikan diri dengan data penting. Dalam buku ini, kami akan membahas
bagaimana prinsip-prinsip deteksi intrusi dilaksanakan sehubungan dengan
komputer jaringan, dan bagaimana menggunakan Snort dapat membantu
administrator keamanan bekerja terlalu keras tahu ketika seseorang lari
bersama aset digital mereka. , Ini mungkin sedikit dramatis untuk sebuah awal
dari diskusi tentang intrusi deteksi, tapi administrator keamanan paling
mengalami saat kecemasan ketika pager berbunyi.
Apakah ini yang besar ?
Apakah mereka bisa masuk ?
Berapa banyak sistem bisa disusupi ?
Apa data disimpan atau diakses oleh mereka sistem?
Apa semacam kewajiban melakukan hal ini membuka kita sampai?
Apakah sistem yang lebih rentan sama?
Apakah tekan akan memiliki kolom hari dengan data kebocoran?
Ini dan pertanyaan lainnya banjir pikiran keamanan yang disiapkan
dengan baik administrator. Di sisi lain, administrator keamanan kurang
dipersiapkan, yang sama sekali tidak menyadari gangguan itu, pengalaman
sedikit kecemasan. Baginya, kegelisahan datang kemudian.
Oke, jadi bagaimana bisa seorang administrator keamanan jaringan yang
berpikiran melindungi dari intrusi?
Jawaban untuk pertanyaan yang cukup deteksi intrusi simple. Adalah dengan
mengunakan sistem (IDS) dapat membantu untuk mendeteksi intrusi dan upaya
penyusupan dalam jaringan Anda, memungkinkan admin cerdas untuk
mengambil langkah-langkah mitigasi yang sesuai dan remediation. Sebuah IDS
murni tidak akan mencegah serangan-serangan, tetapi akan memberitahu Anda
jika penyusup akan memaketika hal itu terjadi
Apakah Intrusion Detection?
Webster's mendefinisikan sebuah intrusi sebagai "tindakan menyodorkan
dalam, atau memasuki tempat atau negara tanpa undangan, kanan, atau
menyambut "Ketika kita berbicara tentang deteksi intrusi., kita mengacu kepada
tindakan mendeteksi suatu gangguan yang tidak sah oleh komputer pada akses
yang tidak sah network. This, atau intrusi, merupakan upaya untuk kompromi,
atau dinyatakan merugikan, ke perangkat jaringan lainnya. untuk penipuan dan
kegiatanterkait koneksi dengan komputer berisi beberapa definisi apa yang
merupakan penipuan intrusi komputer kriminal. "Menyadari diakses komputer
tanpa otorisasi atau melebihi akses yang berwenang "adalah benang umum di
beberapa definisi. www.syngress.com
Bab 1 Sistem Intrusion Detection
Namun, semua definisi pergi ke lebih membutuhkan pencurian rahasia
pemerintah, catatan keuangan, data pemerintah, atau hal-hal seperti lainnya
"Menyadari diakses. tanpa otorisasi atau melebihi berwenang mengakses
"tampaknya tidak cukup dalam dan dari itself.There juga ketidakjelasan legislatif
mengenai apa yang "akses" ini. Misalnya, mengumpulkan data tentang portscan
yang port pada komputer target mendengarkan, tetapi tidak mencoba untuk
menggunakan layanan. Namun demikian, beberapa orang berpendapat bahwa
ini merupakan mengakses layanan tersebut. Sebuah scanner keamanan seperti
Nessus atau Retina dapat memeriksa versi layanan mendengarkan dan
membandingkan mereka terhadap database vulnerabilities.This keamanan yang
telah diketahui lebih mengganggu dari yang sederhana portscan, melainkan
hanya laporan kehadiran kerentanan bukan sebenarnya mengeksploitasi
mereka. Apakah ini mengakses layanan ini?

Apakah itu dianggap sebagai sebuah gangguan?

Akhirnya, ada kasus menyolok dimana sistem sebenarnya dikompromikan.

Paling orang akan setuju bahwa ini dianggap sebagai sebuah gangguan. Untuk
tujuan kita, kita dapat mendefinisikan sebuah intrusi sebagai akses yang tidak
diinginkan dan disengaja tidak sah komputerisasi jaringan sumber daya.
Sebuah IDS adalah setara dengan teknologi tinggi dari alarm pencuri, yang
dikonfigurasi untuk monitor gateway informasi, kegiatan memusuhi, dan
penyusup diketahui. Sebuah IDS adalah alat khusus yang tahu bagaimana
mengurai dan menafsirkan lalu lintas jaringan dan / atau host activities.This data
dapat beragam, mulai dari analisis jaringan paket untuk isi log file dari router,
firewall, dan server, log sistem lokal dan panggilan akses, jaringan aliran data,
dan banyak lagi. Selanjutnya, sebuah IDS sering menyimpan database dari
serangan dikenal tanda tangan dan dapat membandingkan pola aktivitas, lalu
lintas, atau perilaku itu melihat dalam data itu pemantauan terhadap mereka
tanda tangan untuk mengenali kapan pertandingan dekat antara tanda tangan
dan saat ini atau perilaku baru-baru ini terjadi. Pada titik itu, IDS dapat
menerbitkan alarm atau alert, mengambil berbagai tindakan otomatis mulai dari
mematikan Link internet atau server khusus untuk meluncurkan kembali-jejak,
dan membuat lainnya aktif upaya untuk mengidentifikasi penyerang dan
mengumpulkan bukti kegiatan keji mereka. Dengan analogi, suatu IDS tidak
untuk jaringan apa sebuah paket perangkat lunak antivirus tidak untuk file yang
masuk ke sistem: itu memeriksa isi dari lalu lintas jaringan untuk mencari dan
menangkis serangan yang mungkin, seperti paket perangkat lunak antivirus
memeriksa isi file masuk, lampiran e-mail, Web aktif konten, dan sebagainya
untuk mencari virus signature (pola yang cocok dikenal malware) atau tindakan
berbahaya yang mungkin (Pola perilaku yang paling tidak mencurigakan, jika
tidak benar-benar tidak dapat diterima). Untuk lebih spesifik, deteksi intrusi
berarti mendeteksi penggunaan yang tidak sah atau serangan pada sistem atau
jaringan. Sebuah IDS dirancang dan digunakan untuk mendeteksi seperti
serangan atau penggunaan yang tidak sah sistem, jaringan, dan sumber daya
terkait, dan kemudian di banyak kasus untuk menghindari atau mencegah
mereka jika memungkinkan. Seperti firewall, IDSes dapat softwarebased atau
dapat menggabungkan perangkat keras dan perangkat lunak dalam bentuk
terpasang dan telah dikonfigurasikan berdiri sendiri IDS perangkat. IDS dapat
menjalankan perangkat lunak pada perangkat yang sama .
server mana firewall, proxy, atau jasa batas lainnya beroperasi, meskipun
terpisah sensor IDS dan manajer lebih populer. Namun demikian, suatu IDS
tidak berjalan di perangkat yang sama atau server dimana firewall atau layanan
lain yang terinstal akan memantau alat-alat itu dengan kedekatan tertentu dan
perawatan. Meskipun perangkat tersebut cenderung ditempatkan di jaringan
perifer, IDSes dapat mendeteksi dan menangani serangan insider sebagai
maupun eksternal serangan, dan sering sangat berguna dalam mendeteksi
pelanggaran terhadap perusahaan kebijakan dan ancaman keamanan internal
lainnya.
Anda mungkin menemukan beberapa jenis IDSes di lapangan. Pertama, adalah
mungkin untuk membedakan IDSes oleh jenis-jenis kegiatan, lalu lintas,
transaksi, atau sistem mereka monitor. IDSes yang memantau link jaringan dan
tulang punggung mencari tanda tangan serangan disebut IDSes berbasis
jaringan, sedangkan orang-orang yang beroperasi di host dan membela
dan memantau operasi dan file sistem untuk tanda-tanda penyusupan dan
disebut hostbased IDSes. Kelompok IDSes berfungsi sebagai sensor jarak jauh
dan pelaporan ke pusat stasiun manajemen dikenal sebagai IDSes
didistribusikan (DIDSes).
Sebuah gateway IDS adalah jaringan IDS ditempatkan pada gateway antara
jaringan dan jaringan lain, pemantauan lalu lintas yang lewat dan keluar dari
jaringan Anda di titik transit. IDSes yang berfokus pada pemahaman dan
aplikasi-parsing lalu lintas khusus sehubungan dengan aliran logika aplikasi
serta protokol yang sering disebut IDSes aplikasi. Dalam prakteknya,
kebanyakan lingkungan komersial menggunakan beberapa kombinasi jaringan,
host-, dan / atau aplikasi berbasis IDSes untuk mengamati apa yang terjadi pada
jaringan sementara juga monitoring host kunci dan aplikasi lebih dekat. IDSes
juga dapat dibedakan oleh pendekatan mereka yang berbeda untuk analisis
peristiwa. Beberapa IDSes terutama menggunakan teknik yang disebut
detection.This tanda tangan menyerupai jalan banyak program antivirus
menggunakan tanda tangan virus untuk mengenali dan memblokir file yang
terinfeksi, program, atau aktif Web konten dari memasuki sistem komputer,
kecuali yang menggunakan database lalu lintas atau pola kegiatan yang
berkaitan dengan serangan dikenal, tanda tangan serangan yang disebut.
Memang, tanda tangan deteksi adalah pendekatan yang paling banyak
digunakan dalam teknologi IDS komersial hari ini. Pendekatan lain disebut
deteksi anomali. Menggunakan aturan atau standar konsep tentang "normal"
dan "normal" sistem kegiatan (heuristik disebut) untuk membedakan
anomali dari perilaku sistem normal dan untuk memonitor, laporan, atau
memblokir anomali karena mereka terjadi. Beberapa IDSes menerapkan deteksi
anomali profil pengguna profiles.These adalah garis-garis pangkal aktivitas
normal dan dapat dibangun menggunakan sampling statistik, aturan-dasar
pendekatan,ataujaringansaraf.
Ratusan vendor menawarkan berbagai bentuk implementasi IDS komersial.
Kebanyakan solusi yang efektif menggabungkan jaringan dan implementasi
berbasis host IDS. Demikian juga, mayoritas implementasi terutama signature-
based, kemampuan deteksi hanya terbatas anomali berbasis hadir dalam
produk tertentu tertentu atau solusi. Akhirnya, IDSes paling modern mencakup
beberapa respons otomatis terbatas kemampuan, tetapi biasanya
berkonsentrasi pada lalu lintas otomatis penyaringan, menghalangi, atau
memutus sebagai upaya terakhir. Walaupun beberapa sistem klaim untuk dapat
memulai counterstrikes terhadap serangan, praktik terbaik menunjukkan bahwa
identifikasi otomatis dan back-jejak fasilitas adalah aspek yang paling berguna
yang menyediakan fasilitas tersebut dan Oleh karena itu orang yang paling
mungkin untuk digunakan.
IDSes diklasifikasikan berdasarkan fungsi mereka dan longgar dikelompokkan
menjadi sebagai berikut tiga kategori utama:
■ Jaringan intrusi berbasis sistem deteksi (NIDS)
■ Host intrusi berbasis sistem deteksi (HIDS)
■ Sistem deteksi intrusi Terdistribusi (DIDS)
Network NIDS
The NIDS mendapatkan namanya dari fakta bahwa ia memantau seluruh
jaringan dari perspektif lokasi di mana ia digunakan. Lebih akurat, monitor
sebuah seluruh segmen jaringan. Biasanya, sebuah kartu interface jaringan
komputer (NIC) beroperasi dalam modus nonpromiscuous. Dalam modus
operasi, paket hanya diperuntukkan bagi NIC spesifik media akses kontrol
(MAC) alamat (atau paket siaran) adalah diteruskan ke atas stack untuk NIDS
analysis.The harus beroperasi dalam mode promiscuous untuk memonitor lalu
lintas jaringan tidak ditakdirkan untuk alamat MAC-nya sendiri. Dalam
promiscuous modus, yang NIDS dapat menguping semua komunikasi di
segmen jaringan. Di Selain itu, NIDS harus dihubungkan ke salah satu port pada
switch span lokal Anda, atau tekan duplikasi jaringan lalu lintas pada link Anda
ingin memantau. Operasi NIC yang NIDS dalam mode promiscuous diperlukan
untuk melindungi jaringan Anda. Namun, mengingat peraturan privasi yang
muncul dan hukum penyadapan, pemantauan jaringan komunikasi merupakan
tanggung jawab yang harus dipertimbangkan dengan hati-hati.
NetworkHost-Based (HIDS)
IDS HIDS berbeda dari NIDS dalam dua cara. HIDS hanya melindungi sistem
host yang itu berada, dan kartu jaringan yang beroperasi secara default dalam

modus nonpromiscuous. ,Nonpromiscuous modus operasi dapat keuntungan

dalam beberapa kasus, karena tidak semua NIC mampu mode promiscuous.
Selain mode, promiscuous dapat CPU-intensif untuk mesin host lambat. Karena
lokasi mereka pada host yang akan dipantau, HIDS adalah jamban untuk semua
jenis informasi lokal tambahan dengan keamanan implikasi, termasuk panggilan
sistem, modifikasi file sistem, dan sistem log. Di kombinasi dengan komunikasi
jaringan, ini memberikan sejumlah data yang kuat untuk parsing melalui mencari
peristiwa keamanan mungkin keprihatinan. Keuntungan lain dari HIDS adalah
kemampuan untuk menyesuaikan ruleset sangat halus untuk individu masing-
masing host. Misalnya, tidak perlu untuk menanyai beberapa aturan dirancang
untuk mendeteksi eksploitasi DNS pada sebuah host yang tidak menjalankan
Nama Domain Layanan. Akibatnya, penurunan jumlah peraturan terkait
meningkatkan kinerja dan mengurangi overhead prosesor untuk setiap host.

Pada server tertentu dan komputer host. Seperti yang disebutkan sebelumnya,
yang ruleset untuk HIDS di server mail ini disesuaikan untuk melindunginya dari
eksploitasi server mail, dan aturan-aturan server Web ini dirancang eksploitasi
Web. Selama instalasi, mesin host individu dapat dikonfigurasi
NetworkIDSTerdistribusi
The DIDS standar fungsi dalam arsitektur / Manajer Probe. NIDS deteksi sensor
yang terletak jauh dan melapor ke stasiun manajemen terpusat. Attack log
secara periodik upload ke stasiun manajemen dan dapat disimpan di pusat
database; signature serangan baru dapat didownload ke sensor pada saat
dibutuhkan aturan basis.The untuk setiap sensor dapat disesuaikan untuk
memenuhi kebutuhan individu. Alerts dapat diteruskan ke sebuah sistem pesan
yang terletak di stasiun manajemen dan digunakan untuk memberitahu
administrator IDS.

Gambar 1.3
menunjukkan DIDS terdiri dari empat sensor dan manajemen terpusat stasiun.
Sensor NIDS 1 dan NIDS 2 beroperasi di promiscuous stealth
Cara dan melindungi server publik. Sensor NIDS 3 dan 4 adalah melindungi
NIDS sistem host di dasar komputasi terpercaya. Jaringan transaksi antara
sensor dan manajer dapat berada di jaringan pribadi, seperti digambarkan, atau
lalu lintas jaringan dapat menggunakan infrastruktur yang ada. Ketika
menggunakan jaringan yang ada untuk pengelolaan data, keamanan tambahan
yang diberikan oleh enkripsi, atau jaringan pribadi virtual (VPN) teknologi, sangat
dianjurkan.
Aplikasi Snort
Snort merupakan open source IDS jaringan mampu melakukan real-time analisis
lalu lintas dan paket logging di Internet Protocol (IP) jaringan. Snort dapat
melakukan protokol analisis dan konten pencarian / pencocokan, dan Anda
dapat menggunakannya untuk mendeteksi berbagai serangan dan probe, seperti
buffer overflows, stealth port scan, Common Gateway Interface (CGI) serangan,
Server Message Block (SMB) probe, sistem operasi sidik jari usaha, dan banyak
lagi. Snort dengan cepat menjadi alat pilihan
untuk deteksi intrusi. Anda dapat mengkonfigurasi Snort dalam tiga mode utama:
sniffer, packet logger, dan jaringan intrusion detection. Cara sapu tangan hanya
membaca paket dari jaringan dan menampilkannya dalam aliran kontinu pada
konsol. Packet logger mode log yang paket ke disk. Jaringan Modus deteksi
intrusi yang paling kompleks dan
dikonfigurasi, memungkinkan Snort untuk menganalisa trafik jaringan untuk
pertandingan melawan userdefined ruleset dan untuk melakukan salah satu dari
beberapa tindakan, berdasarkan apa yang dilihatnya. Selain tanda tangan
masyarakat yang disediakan dengan Snort dan Sourcefire tanda tangan VDB
tersedia untuk di-download untuk pengguna terdaftar, Anda dapat menulis
sendiri tanda tangan dengan Snort untuk memenuhi kebutuhan tertentu
network.We Anda 'll membahas bagaimana
untuk melakukan hal ini dalam Bab 7.This menambahkan kemampuan
kustomisasi besar dan fleksibilitas untuk mesin Snort, memungkinkan Anda
untuk menyesuaikan dengan kebutuhan keamanan yang unik Anda sendiri
jaringan. Selain itu, ada beberapa komunitas online di mana terdepan intrusi
analis dan responden insiden swap Snort aturan terbaru mereka untuk
mendeteksi segar eksploitasi dan virus baru-baru ini.
pola jaringan Snort pencocokan memiliki beberapa perilaku langsung praktis
aplikasi.
Misalnya, memungkinkan pengenalan host terinfeksi virus atau cacing yang
memiliki perilaku jaringan yang berbeda. Karena cacing modern menyebar
dengan memindai Internet dan menyerang host yang mereka anggap rentan,
tanda tangan dapat ditulis baik untuk ini perilaku pemindaian atau untuk
mengeksploitasi usaha itu sendiri. Meskipun bukan pekerjaan dari IDS untuk
membersihkan mesin terinfeksi, dapat membantu mengidentifikasi terinfeksi
mesin. Dalam kasus infeksi virus besar, kemampuan identifikasi ini dapat sangat
berguna. Selain itu, mengawasi perilaku yang sama setelah virus seharusnya
cleanup dapat membantu untuk memastikan bahwa pembersihan berhasil.
Kemudian dalam bab ini, kami akan memeriksa aturan Snort yang menjadi ciri
perilaku jaringan cacing. Snort juga memiliki tanda tangan yang cocok dengan
perilaku jaringan dikenal jaringan pengintaian dan memanfaatkan alat. Meskipun
sebagian besar, penulis membuat aturan upaya untuk mencocokkan tanda
tangan dari eksploitasi dan bukan alat tertentu, kadang-kadang sangat
membantu untuk dapat mengidentifikasi alat pemindaian atau menyerang Anda.
Sebagai contoh, ada aturan yang mengidentifikasi kecenderungan pemindai
SolarWinds untuk menanamkan namanya di muatan dari perusahaan
pemindaian Internet Control Message Protocol (ICMP) paket,
membuat perangkat yang mudah untuk identification.The Mayoritas eksploitasi
yang berakhir di alat populer seperti Metasploit memiliki tanda tangan di
rulebases Snort, membuat mereka terdeteksi oleh perilaku jaringan mereka.
Intrusion Detection dan kerentanan Jaringan Dari semua bidang yang menjadi
perhatian untuk administrator jaringan, dua di mana-mana ancaman alat tenun
besar di cakrawala ancaman potensial: virus besar atau wabah cacing, dan
sebuah intrusi berbahaya yang sukses. Untungnya, IDSes dapat membantu
dalam mengidentifikasi dan memerangi kedua situasi. Mari kita pertama
mempertimbangkan kecacingan. Mengidentifikasi Infeksi Worm dengan IDS
Cacing Dabber agak kasar eksploitasi host sebelumnya-cacing-dieksploitasi.
Riding pada coattails dari cacing Sasser sangat merusak (yang mengeksploitasi
MS04-011 LSASS kerentanan), Dabber scan pada port TCP 5554 untuk Sasser-
dikompromi mesin, kemudian memanfaatkan FTP server yang Sasser
menginstal dan menghapus Sasser Registry kunci, menggantinya dengan
sendiri. Beberapa versi dari Dabber cacing telah diidentifikasi di alam liar, dan
banyak organisasi berebut untuk patch dan membersihkan Sasser tidak
menemukan semua kotak dikompromikan dalam waktu sebelum mereka
berkompromi lagi dan berbeda dengan cacing yang baru. Di tempat kejadian
kejahatan, salah satu tugas pertama dari teknisi bukti forensik adalah untuk
mengumpulkan sidik jari fingerprints.These dapat digunakan untuk menentukan
identitas penjahat. Sama seperti di forensik kriminal, jaringan teknisi forensik
mengumpulkan sidik jari di tempat sebuah sidik jari komputer crime.The yang
diekstraksi dari korban log komputer dan dikenal sebagai tanda tangan atau jejak
kaki. Hampir semua memanfaatkan memiliki tanda tangan yang unik. Ketika
eksploitasi baru dilepaskan ke insiden, liar responden dan administrator
keamanan berkolaborasi untuk mengidentifikasi tanda tangan dari
mengeksploitasi, dan menulis aturan IDS yang akan memberitahukan pada
tanda tangan yang. Meskipun kami tegaskan bahwa itu adalah tugas dari
software antivirus untuk mengatasi virus dan mesin cacing yang terinfeksi, Snort
dapat membantu mengidentifikasi host yang membutuhkan perhatian dari Anda
ramah antivirus staf lokal. Perhatikan peraturan Snort berikut, dari
komunitas-virus.rules:
alert tcp $ EXTERNAL_NET -> $ HOME_NET 5.554 (msg: "MASYARAKAT
VIRUS Dabber PORT overflow upaya port 5554 "; aliran: to_server, didirikan,
no_stream; konten: "PORT"; nocase; isdataat: 100, relatif;
PCRE: "/ ^ PORT \ s [] ^ n \ (100) / smi"; referensi: McAfee, 125300; classtype:
attemptedadmin;
sid: 100000110; rev: 1;) alert tcp $ EXTERNAL_NET apapun -> $ HOME_NET
1023 (msg: "MASYARAKAT VIRUS Dabber PORT overflow upaya port 1023 ";
aliran: to_server, didirikan, no_stream; konten: "PORT"; nocase; isdataat: 100,
relatif; PCRE: "/ ^ PORT \ s [] ^ n \ (100) / smi"; referensi: McAfee, 125300;
classtype: attemptedadmin; sid: 100000111; rev: 1;)
Tanda Aturan pertama pada overflow PORT berusaha mencoba memanfaatkan
TCP port 5554, yang menunjukkan buffer overflow dari server.The Sasser-instal
rentan aturan kedua menunjukkan upaya serupa dengan ll 1023.We port TCP
mendapatkan lebih banyak ke dalam aturan analisis dan menulis dalam bab-bab
selanjutnya, tetapi struktur dasar harus terlihat dari peraturan tersebut. Catatan
bahwa bukan kunci atau perubahan file Registry bahwa NIDS aturan mendeteksi
(meskipun HIDS pada komputer terinfeksi bisa melihat perilaku ini), tetapi
jaringan lalu lintas terlihat dari cacing dengan muatan yang khas.
Note
Untuk penjelasan menyeluruh dari cacing Dabber, yang terkait Registry kunci
diubah, dan perilakunya, melihat www.lurhq.com / dabber.html. Meskipun cacing
dapat mengganggu dan bandwidth-menyumbat, banyak keamanan
administrator masih lebih takut pada upaya mengeksploitasi ditargetkan terhadap
nilai-tinggi server. Mari kita lihat sebuah serangan terhadap server database
Oracle. Mengidentifikasi Server Eksploitasi Upaya dengan IDS Oracle TNS
Listener adalah layanan pusat untuk database Oracle. Secara default, ini adalah
tidak dilindungi dengan password pada kebanyakan kasus, meskipun sandi
dapat diatur.\
Pada Hari Valentine 2005, peneliti Alexander Kornbrust melaporkan ke
database raksasa Oracle bahwa iSQL nya * Plus, sebuah antarmuka Web untuk
SQL * Plus, dapat digunakan untuk menutup menuruni Listener.This TNS
menciptakan penolakan-of-service kondisi database. Oracle bug dikonfirmasi
pada hari berikutnya, tetapi tidak mengumumkan patch untuk beberapa Oracle
months.The Kritis Update Patch Juli 2005 (CPU Juli 2005) dibahas ini
kerentanan. Namun, karena persyaratan uptime tinggi banyak komersial
database, masih ada banyak server unpatched luar sana. Sepertinya kegilaan
yang itu server yang paling penting secara operasional dapat dianggap "terlalu
penting untuk patch, "tapi beberapa administrator memiliki sikap yang tepat.
Lainnya memang tidak sadar dari patch atau tidak memahami pentingnya patch
cepat dan teratur.
Dalam kasus ini, IDS dapat mengisi kesenjangan dan mengingatkan Anda untuk
upaya serangan pada jaringan Anda. Jika Anda tidak dapat mengetahui
mengapa pendengar database Anda terus menutup, IDS waspada log seperti
yang dihasilkan oleh aturan ini dapat memberikan berharga administrasi
informasi:
CATATAN
Untuk penjelasan menyeluruh dari kerentanan Oracle TNS Listener, lihat
di Kornbrust's write-up di www.red-databasesecurity.
com / konsultasi / oracle_isqlplus_shutdown.html. Juga, perhatikan bahwa
URL membantu direferensikan dalam aturan Snort sebelumnya! Keputusan dan
Peringatan dengan IDS Dengan IDS, akan ada beberapa positif palsu dan
beberapa negatif palsu. A false positif adalah tanda yang memicu pada lalu lintas
normal di mana tidak ada intrusi atau serangan underway.A negatif palsu adalah
kegagalan sebuah aturan untuk memicu ketika serangan yang sebenarnya
adalah berlangsung. Kebanyakan IDSes memiliki banyak, banyak positif palsu
dari kotak, dan bahwa nomor dikurangi secara bertahap melalui tuning. Mereka
biasanya dianggap buruk memiliki palsu negatif daripada positif telah palsu-Anda
selalu dapat membuang salah data, tapi sulit untuk mengetahui apa yang Anda
hilang ketika Anda tidak melihatnya! Signatures yang memiliki tingkat tinggi
positif palsu umumnya lebih berguna dibandingkan tanda tangan bahwa api
hanya ketika ada serangan yang sebenarnya, dan merupakan bagian integral
dari proses tuning adalah ngerik keluar ini positif palsu dengan menerapkan
pengetahuan tentang apa yang sebenarnya pada jaringan Anda dan apa
perangkat dimaksudkan untuk melakukan.
CATATAN
Meskipun klaim yang dibuat oleh banyak vendor dan bahkan beberapa
mengalami intrusi analis, hanya karena Anda tidak peduli tentang peristiwa
tertentu tidak berarti itu adalah positif palsu! Tidak apa-apa untuk mengatakan
Anda memperoleh benar positif yang tidak penting di lingkungan Anda atau saat
ini, tetapi jangan bingung tentang apa yang palsu positif atau negatif palsu.
Sebuah acara adalah positif palsu hanya jika aturan lalu lintas macet dan
diidentifikasi salah. Juga penting untuk mengingat bahwa IDSes tidak sangat
mudah. Pada hari-hari awal dari IDS, kertas semen oleh Tim Newsham dan Tom
Ptacek berjudul "Penyisipan, penghindaran, dan Denial of Service: Eluding
Network Intrusion Detection "membawa beberapa asli kekurangan IDSes
menjadi perhatian luas masyarakat keamanan. Dengan kreatif fragmenting
paket, atau menulis mereka dengan tumpang tindih yang akan dipasang kembali
fragmen berbeda dari individu akan menyarankan, hal itu mungkin untuk
mengirim serangan kanan bawah hidung IDSes hampir sepanjang waktu.
Banyak dari masalah sejak itu dialamatkan melalui pengenalan dan perbaikan
jaringan aliran sungai dan preprocessors-aware dan alat fragmen reassembly,
tetapi akan sangat optimis untuk berpikir bahwa tidak ada kekurangan lain
mungkin ada di penanganan lalu lintas jaringan dengan NIDS hari ini. Salah satu
kekuatan pertahanan-mendalam desain keamanan adalah bahwa kelemahan
dalam operasi satu pertahanan lebih mungkin ditutupi oleh bagian lain dari
strategi pertahanan. Berbicara dari sudut pandang bisnis praktis, banyak CIO
dan CSO akan ingin tahu apa yang diharapkan ROI untuk penyebaran semacam
ini. Kebanyakan departemen memiliki anggaran keamanan terbatas, dan ingin
menghabiskan sebagai bijaksana mungkin. Jika biaya bangunan dan
penggelaran sebuah IDS kompleks jauh lebih besar dari nilai informasi yang
Anda pernah mungkin untuk melindungi pada jaringan itu, Anda mungkin ingin
mempertimbangkan kembali strategi keamanan Anda. Dengan asumsi bahwa
Anda memiliki jaringan yang bisa mendapatkan keuntungan dari jaringan
pemantauan kemampuan sebuah IDS, kini Anda memiliki beberapa desain
keputusan untuk membuat. Jika Anda IDS menjadi inline, duduk di choke titik (s)
antara jaringan dan dunia, atau tidak? Apakah masuk akal untuk drop lalu lintas
aktif, atau Anda hanya ingin menghasilkan tanda untuk analisis tanpa
menyentuh jaringan, atau mungkin berpindah dari terakhir ke mantan? Apakah
Anda ingin respon aktif atau tidak? (Pertanyaan-pertanyaan ini akan dibahas
secara mendalam dalam Bab 11) Akhirnya., ketika mempertimbangkan
penggelaran sebuah inline atau gateway IDS, orang harus memperhitungkan
setiap enkripsi, VPN, atau jaringan terowongan IPsec lalu lintas. Jaringan
enkripsi menghilangkan kemampuan IDS agar memberitahukan pada
paket muatan terpercaya, seperti konten dienkripsi dan karenanya tidak
matchable tanpa melihat ke dalam enkripsi. Meskipun beberapa perangkat di
pasar dapat mendekripsi dienkripsi lalu lintas khusus untuk tujuan pencocokan
tanda tangan IDS, di umum, lalu lintas keluar banyak dienkripsi IDS aturan dan
mungkin memicu positif palsu secara acak dengan muatan yang dienkripsi. Saat
mengamati tempat untuk menyebarkan sebuah IDS sensor dalam jaringan
Anda, pastikan untuk menempatkannya di sisi tidak terenkripsi yang dienkripsi
terowongan, dan memiliki cara lain untuk menganalisis perangkat yang
mengandalkan lalu lintas dienkripsi. Kita akan berbicara tentang semua faktor ini
secara lebih rinci nanti dalam buku ini, tapi kami ingin kau sadar akan isu-isu
awal.
Oink!
Apakah saya menyebutkan bahwa Snort gratis? Benar, gratis.
Mengapa Intrusion
Sistem Deteksi Penting?
Semua orang akrab dengan yang sering digunakan berkata, "Apa yang Anda
tidak tahu tidak bisa melukai
Anda "Namun., siapa saja yang pernah membeli mobil yang digunakan telah
belajar secara langsung absurditas pernyataan ini. Dalam dunia keamanan
jaringan, kemampuan untuk mengetahui ketika penyusup bergerak dalam
pengintaian, mencoba kompromi sistem, atau aktivitas berbahaya lainnya dapat
berarti perbedaan antara berkompromi dan
tidak terganggu. Selain itu, dalam beberapa lingkungan, apa yang Anda tidak
tahu
langsung dapat mempengaruhi kerja-yours.With peningkatan prevalensi
konsumen
privasi hukum di negara-negara seperti Washington dan California, perusahaan
dan lainnya lembaga yang secara legal terpaksa mengungkapkan pelanggaran
data dan kompromi untuk customers.This terpengaruh mereka dapat memiliki
dampak yang luar biasa atas dikompromikan
perusahaan, termasuk pers buruk, hilangnya kepercayaan pelanggan, dan efek
resultan pada saham. Tak perlu dikatakan, banyak eksekutif ingin mencegah
semacam ini malu
untuk perusahaan mereka.
IDSes seperti Snort dapat mendeteksi ICMP dan jenis lainnya pengintai jaringan
scan yang mungkin menunjukkan serangan yang akan datang. Selain itu, IDS
dapat mengingatkan admin dari kompromi yang sukses, yang memungkinkan
dia kesempatan untuk menerapkan tindakan mitigasi sebelum kerusakan lebih
lanjut disebabkan, dan mengambil sistem offline dan mendapatkan itu siap
untuk analisis forensik untuk menentukan besarnya pelanggaran.

IDSes memberikan administrator keamanan dengan jendela ke inner pekerjaan

jaringan, analog dengan sebuah sinar-X atau tes darah di field.The medis
kemampuan untuk menganalisis jaringan internal lalu lintas dan untuk
menentukan keberadaan jaringan virus dan worm tidak sama sekali berbeda
dari teknik yang digunakan oleh medis profession.The kesamaan virus jaringan
dan cacing untuk mereka biologis rekan-rekan telah mengakibatkan monikers
medis mereka. IDSes menyediakan mikroskop diperlukan untuk mendeteksi
invaders.Without ini bantuan deteksi intrusi, keamanan administrator rentan
terhadap eksploitasi dan akan menjadi sadar akan adanya
eksploitasi hanya setelah sistem crash atau database rusak.
Mengapa Aku Penyerang Tertarik?
"Serangan dari Zombies"-suara banyak seperti film B-grade tua, bukan?
Sayangnya, dalam kasus ini, bukan sihir bioskop. serangan Zombie nyata dan
biaya
perusahaan dan konsumen miliaran dolar. Zombies yang terkomputerisasi
tentara
di bawah kendali hacker jahat, dan dalam proses melakukan didistribusikan
penolakan-of-service (DDoS) serangan mereka membabi buta melaksanakan
kehendak tuannya.
Pada bulan Februari 2000, sebuah serangan DDoS utama memblokir akses ke
eBay, Amazon.com, AOL-timewarner, CNN, Dell Computer, Excite, Yahoo, dan!
Lainnya e-commerce giants.The kerusakan yang dilakukan oleh DDoS ini
berkisar dari perlambatan untuk melengkapi sistem outages.The Jaksa Agung
Amerika Serikat memerintahkan FBI untuk memulai penyelidikan kriminal.
Serangan ini bersejarah ini dilakukan oleh sekelompok besar komputer
dikompromi
beroperasi di konser. Baru-baru ini, dengan serangan DDoS pada operator
Akamai's
sistem DNS di Mei dan Juni 2004 menyebabkan situs utama dan terhubung
dengan baik seperti Microsoft, Google, Yahoo, dan! Pelayanan update antivirus
dari Symantec dan
TrendMicro menjadi tidak tersedia untuk internet pada umumnya. Ratusan ribu
komputer berkompromi dapat mengambil menurunkan bahkan jaringan terbesar,
dan Anda tidak ingin jaringan Anda untuk menjadi bagian dari serangan seperti
ini.
pelajaran yang bisa dipetik dari kejadian ini adalah bahwa tidak ada jaringan
terlalu kecil untuk ditinggalkan tanpa perlindungan. Jika hacker dapat
menggunakan komputer Anda, dia will.The tujuan utama yang mengeksploitasi
CodeRed adalah untuk melakukan DDoS pada situs web Gedung Putih. Itu
gagal, karena hanya untuk pengawasan penulis dalam menggunakan alamat IP
hardcoded bukan Nama Domain Services.The mengeksploitasi dikompromikan
lebih dari satu juta komputer, mulai dari jaringan korporat untuk pengguna
rumahan. Ini juga semakin umum untuk botnet terdiri dari komputer zombie untuk
diprogram untuk engkol spam, produktif kemarahan pengguna akhir marah dan
membuat spammer uang atas biaya Anda. aktivitas Spamming, bahkan jika
lengah, bisa mendapatkan jaringan Anda ditempatkan pada daftar blok dan
blacklist, sangat membatasi jaringan yang bersedia menerima e-mail dari Anda.
Ketika jaringan utama banyak yang tidak bersedia menerima e-mail, Anda
mungkin menemukan bahwa ini menimbulkan beberapa hambatan dalam bisnis.
Seperti yang akan rinci di bab berikutnya, Snort telah banyak peraturan yang
dapat mengingatkan administrator sistem untuk kehadiran zombie dan alat
lainnya yang tidak sah mengakses remote. Antara perang melawan terorisme,
yang disponsori pemerintah hacking, dan hacktivists mengambil politik mereka
sendiri ke digital tangan (seperti dalam konflik India-Pakistan), penggunaan
sebuah IDS seperti Snort dapat membuktikan penting dalam perlindungan
infrastruktur jaringan di dunia. Namun, siklus CPU Anda dan bandwidth bukan
satu-satunya yang penyerang adalah setelah. ruang disk bebas seringkali
berguna untuk digital-tak pernah lakukan-sumur, yang memungkinkan mereka
untuk
menyiapkan server warez mana mereka dapat melakukan perdagangan
eksploitasi, pornografi, dan bajakan digital media.You tidak ingin menampar
dengan gugatan Digital Millennium Copyright Act untuk musik bajakan yang
Anda bahkan tidak tahu kau hosting! Dan jika Anda terjadi untuk menjalankan
sebuah jaringan yang memiliki apapun data sensitif perusahaan atau swasta
pada server, yah, ada pasar gelap berkembang dalam spionase industri.
Apa Akankah IDS Apakah bagi-Ku?
Kekuatan IDSes adalah kemampuan mereka untuk terus menonton paket pada
Anda jaringan, memahami mereka dalam biner, dan memberitahukan Anda bila
sesuatu yang mencurigakan cocok tanda tangan terjadi. Tidak seperti analis
keamanan manusia, kecepatan deteksi IDS memungkinkan sinyal dan respon
segera, bahkan jika 03:00 dan semua orang tidur. (The memperingatkan
kemampuan IDSes dapat memungkinkan Anda untuk orang halaman dan
bangun mereka, atau, jika Anda mengerahkan sebuah IDS dalam mode inline
atau pencegahan intrusi sistem [IPS], memblokir lalu lintas yang mencurigakan,
dan lalu lintas potensial lainnya dari menyerang host) Sebuah IDS. dapat
memungkinkan Anda untuk membaca gigabyte log harian, cari isu-isu spesifik
dan peningkatan potensi violations.The dari komputasi dan analisis kekuasaan
sangat besar, dan IDS benar-benar baik akan bertindak sebagai kekuatan
pengganda untuk kompeten
sistem / administrator jaringan atau orang keamanan, yang memungkinkan
mereka untuk memantau lebih data dari sistem yang lebih. Dengan membiarkan
Anda tahu dengan cepat ketika terlihat seperti Anda diserang, kompromi
potensial dapat dicegah atau diminimalkan. Adalah penting untuk menyadari
bahwa setiap IDS cenderung untuk menciptakan jumlah yang luar biasa data
tidak peduli seberapa baik Anda menyetel tuning it.Without, IDSes paling akan
membuat begitu banyak data dan positif palsu begitu banyak bahwa waktu
analisis dapat rawa menanggapi tanda yang sah dalam lautan alert palsu.
Sebuah IDS baru hampir seperti baru bayi itu membutuhkan banyak perawatan
dan makan untuk dapat matang dengan cara yang produktif dan sehat. Jika
Anda tidak IDS lagu Anda, Anda mungkin juga tidak memilikinya. Fitur lain yang
positif dari IDS adalah bahwa hal itu akan memungkinkan analis terampil untuk
menemukan halus tren dalam jumlah besar data yang mungkin tidak
diperhatikan. Oleh memungkinkan hubungan antara tanda dan semesta alam,
IDS dapat menunjukkan pola yang mungkin tidak telah melihat melalui sarana
lain analysis, jaringan merupakan salah satu contoh
Intrusion Detection System • Bab 1 17
tentang bagaimana IDS dapat melengkapi jaringan pertahanan lainnya, bekerja
secara kooperatif untuk menetapkan strategi pertahanan yang mendalam.
Apa yang tidak Akankah IDS Apakah bagi-Ku?
Tidak IDS akan menggantikan kebutuhan staf pengetahuan tentang security.You
perlukan
analis terampil untuk melewati mereka peringatan bahwa IDS menghasilkan,
menentukan yang adalah ancaman nyata dan yang positif palsu. Meskipun IDS
dapat mengumpulkan data dari banyak perangkat pada segmen jaringan,
mereka tetap tidak akan memahami konsekuensi dari ancaman untuk setiap
mesin, atau pentingnya setiap server pada kebutuhan network.You pintar, orang
cerdas untuk mengambil tindakan pada informasi bahwa IDS menyediakan.
Selain itu, tidak ada IDS akan menangkap setiap serangan tunggal yang terjadi,
atau mencegah orang dari mencoba untuk menyerang keterbatasan you.The dari
segala jenis IDS dan waktunya antara perkembangan serangan baru dan
pengembangan dari tanda tangan atau kemampuan untuk menyembunyikan di
dalam batasan yang dapat diterima sistem anomali berbasis membuatnya sangat
mungkin bahwa akan ada jendela kecil di mana serangan 0-hari tidak akan
dideteksi oleh IDS.The internet yang diberikan dapat menjadi tempat yang kejam
dan kasar, dan meskipun disarankan untuk menerapkan pertahanan jaringan
yang kuat dan mempersiapkan untuk diserang, IDSes tidak dapat psikis
membuat orang memutuskan untuk tidak menyerang jaringan Anda
setelah semua. Dalam kebanyakan kasus, suatu IDS tidak akan mencegah
serangan dari berhasil secara otomatis, sebagaimana fungsinya adalah untuk
mendeteksi dan alert.There adalah beberapa mekanisme yang melakukan
alamat ini masalah-inline IDS, atau IPS, misalnya-tetapi dalam banyak kasus,
sebuah IDS tidak akan secara otomatismengalahkan serangan untuk you.This
adalah salah satu alasan bahwa IDS harus dilihat sebagai pelengkap untuk
pertahanan lain jaringan seperti cemara Contribute a better translation