Professional Documents
Culture Documents
Pengenalant
n Detection Prinsip deteksi intrusi bukanlah hal yang baru. Sebagai contoh
Apakah itu alarm mobil atau sirkuit tertutup televisi, detektor gerakan atau
analisa log, banyak orang
dengan kepentingan
maupun aset untuk
melindungi memiliki
kepentingan dalam hal ini
banyak orang yang
tidajk punya wewenang
tatau tidak berhak adalah mereka menyelidik pertahanan, menilai aset mereka,
atau melarikan diri dengan data penting. Dalam buku ini, kami akan membahas
bagaimana prinsip-prinsip deteksi intrusi dilaksanakan sehubungan dengan
komputer jaringan, dan bagaimana menggunakan Snort dapat membantu
administrator keamanan bekerja terlalu keras tahu ketika seseorang lari
bersama aset digital mereka. , Ini mungkin sedikit dramatis untuk sebuah awal
dari diskusi tentang intrusi deteksi, tapi administrator keamanan paling
mengalami saat kecemasan ketika pager berbunyi.
Apakah ini yang besar ?
Apakah mereka bisa masuk ?
Berapa banyak sistem bisa disusupi ?
Apa data disimpan atau diakses oleh mereka sistem?
Apa semacam kewajiban melakukan hal ini membuka kita sampai?
Apakah sistem yang lebih rentan sama?
Apakah tekan akan memiliki kolom hari dengan data kebocoran?
Ini dan pertanyaan lainnya banjir pikiran keamanan yang disiapkan
dengan baik administrator. Di sisi lain, administrator keamanan kurang
dipersiapkan, yang sama sekali tidak menyadari gangguan itu, pengalaman
sedikit kecemasan. Baginya, kegelisahan datang kemudian.
Oke, jadi bagaimana bisa seorang administrator keamanan jaringan yang
berpikiran melindungi dari intrusi?
Jawaban untuk pertanyaan yang cukup deteksi intrusi simple. Adalah dengan
mengunakan sistem (IDS) dapat membantu untuk mendeteksi intrusi dan upaya
penyusupan dalam jaringan Anda, memungkinkan admin cerdas untuk
mengambil langkah-langkah mitigasi yang sesuai dan remediation. Sebuah IDS
murni tidak akan mencegah serangan-serangan, tetapi akan memberitahu Anda
jika penyusup akan memaketika hal itu terjadi
Apakah Intrusion Detection?
Webster's mendefinisikan sebuah intrusi sebagai "tindakan menyodorkan
dalam, atau memasuki tempat atau negara tanpa undangan, kanan, atau
menyambut "Ketika kita berbicara tentang deteksi intrusi., kita mengacu kepada
tindakan mendeteksi suatu gangguan yang tidak sah oleh komputer pada akses
yang tidak sah network. This, atau intrusi, merupakan upaya untuk kompromi,
atau dinyatakan merugikan, ke perangkat jaringan lainnya. untuk penipuan dan
kegiatanterkait koneksi dengan komputer berisi beberapa definisi apa yang
merupakan penipuan intrusi komputer kriminal. "Menyadari diakses komputer
tanpa otorisasi atau melebihi akses yang berwenang "adalah benang umum di
beberapa definisi. www.syngress.com
Bab 1 Sistem Intrusion Detection
Namun, semua definisi pergi ke lebih membutuhkan pencurian rahasia
pemerintah, catatan keuangan, data pemerintah, atau hal-hal seperti lainnya
"Menyadari diakses. tanpa otorisasi atau melebihi berwenang mengakses
"tampaknya tidak cukup dalam dan dari itself.There juga ketidakjelasan legislatif
mengenai apa yang "akses" ini. Misalnya, mengumpulkan data tentang portscan
yang port pada komputer target mendengarkan, tetapi tidak mencoba untuk
menggunakan layanan. Namun demikian, beberapa orang berpendapat bahwa
ini merupakan mengakses layanan tersebut. Sebuah scanner keamanan seperti
Nessus atau Retina dapat memeriksa versi layanan mendengarkan dan
membandingkan mereka terhadap database vulnerabilities.This keamanan yang
telah diketahui lebih mengganggu dari yang sederhana portscan, melainkan
hanya laporan kehadiran kerentanan bukan sebenarnya mengeksploitasi
mereka. Apakah ini mengakses layanan ini?
Pada server tertentu dan komputer host. Seperti yang disebutkan sebelumnya,
yang ruleset untuk HIDS di server mail ini disesuaikan untuk melindunginya dari
eksploitasi server mail, dan aturan-aturan server Web ini dirancang eksploitasi
Web. Selama instalasi, mesin host individu dapat dikonfigurasi
NetworkIDSTerdistribusi
The DIDS standar fungsi dalam arsitektur / Manajer Probe. NIDS deteksi sensor
yang terletak jauh dan melapor ke stasiun manajemen terpusat. Attack log
secara periodik upload ke stasiun manajemen dan dapat disimpan di pusat
database; signature serangan baru dapat didownload ke sensor pada saat
dibutuhkan aturan basis.The untuk setiap sensor dapat disesuaikan untuk
memenuhi kebutuhan individu. Alerts dapat diteruskan ke sebuah sistem pesan
yang terletak di stasiun manajemen dan digunakan untuk memberitahu
administrator IDS.
Gambar 1.3
menunjukkan DIDS terdiri dari empat sensor dan manajemen terpusat stasiun.
Sensor NIDS 1 dan NIDS 2 beroperasi di promiscuous stealth
Cara dan melindungi server publik. Sensor NIDS 3 dan 4 adalah melindungi
NIDS sistem host di dasar komputasi terpercaya. Jaringan transaksi antara
sensor dan manajer dapat berada di jaringan pribadi, seperti digambarkan, atau
lalu lintas jaringan dapat menggunakan infrastruktur yang ada. Ketika
menggunakan jaringan yang ada untuk pengelolaan data, keamanan tambahan
yang diberikan oleh enkripsi, atau jaringan pribadi virtual (VPN) teknologi, sangat
dianjurkan.
Aplikasi Snort
Snort merupakan open source IDS jaringan mampu melakukan real-time analisis
lalu lintas dan paket logging di Internet Protocol (IP) jaringan. Snort dapat
melakukan protokol analisis dan konten pencarian / pencocokan, dan Anda
dapat menggunakannya untuk mendeteksi berbagai serangan dan probe, seperti
buffer overflows, stealth port scan, Common Gateway Interface (CGI) serangan,
Server Message Block (SMB) probe, sistem operasi sidik jari usaha, dan banyak
lagi. Snort dengan cepat menjadi alat pilihan
untuk deteksi intrusi. Anda dapat mengkonfigurasi Snort dalam tiga mode utama:
sniffer, packet logger, dan jaringan intrusion detection. Cara sapu tangan hanya
membaca paket dari jaringan dan menampilkannya dalam aliran kontinu pada
konsol. Packet logger mode log yang paket ke disk. Jaringan Modus deteksi
intrusi yang paling kompleks dan
dikonfigurasi, memungkinkan Snort untuk menganalisa trafik jaringan untuk
pertandingan melawan userdefined ruleset dan untuk melakukan salah satu dari
beberapa tindakan, berdasarkan apa yang dilihatnya. Selain tanda tangan
masyarakat yang disediakan dengan Snort dan Sourcefire tanda tangan VDB
tersedia untuk di-download untuk pengguna terdaftar, Anda dapat menulis
sendiri tanda tangan dengan Snort untuk memenuhi kebutuhan tertentu
network.We Anda 'll membahas bagaimana
untuk melakukan hal ini dalam Bab 7.This menambahkan kemampuan
kustomisasi besar dan fleksibilitas untuk mesin Snort, memungkinkan Anda
untuk menyesuaikan dengan kebutuhan keamanan yang unik Anda sendiri
jaringan. Selain itu, ada beberapa komunitas online di mana terdepan intrusi
analis dan responden insiden swap Snort aturan terbaru mereka untuk
mendeteksi segar eksploitasi dan virus baru-baru ini.
pola jaringan Snort pencocokan memiliki beberapa perilaku langsung praktis
aplikasi.
Misalnya, memungkinkan pengenalan host terinfeksi virus atau cacing yang
memiliki perilaku jaringan yang berbeda. Karena cacing modern menyebar
dengan memindai Internet dan menyerang host yang mereka anggap rentan,
tanda tangan dapat ditulis baik untuk ini perilaku pemindaian atau untuk
mengeksploitasi usaha itu sendiri. Meskipun bukan pekerjaan dari IDS untuk
membersihkan mesin terinfeksi, dapat membantu mengidentifikasi terinfeksi
mesin. Dalam kasus infeksi virus besar, kemampuan identifikasi ini dapat sangat
berguna. Selain itu, mengawasi perilaku yang sama setelah virus seharusnya
cleanup dapat membantu untuk memastikan bahwa pembersihan berhasil.
Kemudian dalam bab ini, kami akan memeriksa aturan Snort yang menjadi ciri
perilaku jaringan cacing. Snort juga memiliki tanda tangan yang cocok dengan
perilaku jaringan dikenal jaringan pengintaian dan memanfaatkan alat. Meskipun
sebagian besar, penulis membuat aturan upaya untuk mencocokkan tanda
tangan dari eksploitasi dan bukan alat tertentu, kadang-kadang sangat
membantu untuk dapat mengidentifikasi alat pemindaian atau menyerang Anda.
Sebagai contoh, ada aturan yang mengidentifikasi kecenderungan pemindai
SolarWinds untuk menanamkan namanya di muatan dari perusahaan
pemindaian Internet Control Message Protocol (ICMP) paket,
membuat perangkat yang mudah untuk identification.The Mayoritas eksploitasi
yang berakhir di alat populer seperti Metasploit memiliki tanda tangan di
rulebases Snort, membuat mereka terdeteksi oleh perilaku jaringan mereka.
Intrusion Detection dan kerentanan Jaringan Dari semua bidang yang menjadi
perhatian untuk administrator jaringan, dua di mana-mana ancaman alat tenun
besar di cakrawala ancaman potensial: virus besar atau wabah cacing, dan
sebuah intrusi berbahaya yang sukses. Untungnya, IDSes dapat membantu
dalam mengidentifikasi dan memerangi kedua situasi. Mari kita pertama
mempertimbangkan kecacingan. Mengidentifikasi Infeksi Worm dengan IDS
Cacing Dabber agak kasar eksploitasi host sebelumnya-cacing-dieksploitasi.
Riding pada coattails dari cacing Sasser sangat merusak (yang mengeksploitasi
MS04-011 LSASS kerentanan), Dabber scan pada port TCP 5554 untuk Sasser-
dikompromi mesin, kemudian memanfaatkan FTP server yang Sasser
menginstal dan menghapus Sasser Registry kunci, menggantinya dengan
sendiri. Beberapa versi dari Dabber cacing telah diidentifikasi di alam liar, dan
banyak organisasi berebut untuk patch dan membersihkan Sasser tidak
menemukan semua kotak dikompromikan dalam waktu sebelum mereka
berkompromi lagi dan berbeda dengan cacing yang baru. Di tempat kejadian
kejahatan, salah satu tugas pertama dari teknisi bukti forensik adalah untuk
mengumpulkan sidik jari fingerprints.These dapat digunakan untuk menentukan
identitas penjahat. Sama seperti di forensik kriminal, jaringan teknisi forensik
mengumpulkan sidik jari di tempat sebuah sidik jari komputer crime.The yang
diekstraksi dari korban log komputer dan dikenal sebagai tanda tangan atau jejak
kaki. Hampir semua memanfaatkan memiliki tanda tangan yang unik. Ketika
eksploitasi baru dilepaskan ke insiden, liar responden dan administrator
keamanan berkolaborasi untuk mengidentifikasi tanda tangan dari
mengeksploitasi, dan menulis aturan IDS yang akan memberitahukan pada
tanda tangan yang. Meskipun kami tegaskan bahwa itu adalah tugas dari
software antivirus untuk mengatasi virus dan mesin cacing yang terinfeksi, Snort
dapat membantu mengidentifikasi host yang membutuhkan perhatian dari Anda
ramah antivirus staf lokal. Perhatikan peraturan Snort berikut, dari
komunitas-virus.rules:
alert tcp $ EXTERNAL_NET -> $ HOME_NET 5.554 (msg: "MASYARAKAT
VIRUS Dabber PORT overflow upaya port 5554 "; aliran: to_server, didirikan,
no_stream; konten: "PORT"; nocase; isdataat: 100, relatif;
PCRE: "/ ^ PORT \ s [] ^ n \ (100) / smi"; referensi: McAfee, 125300; classtype:
attemptedadmin;
sid: 100000110; rev: 1;) alert tcp $ EXTERNAL_NET apapun -> $ HOME_NET
1023 (msg: "MASYARAKAT VIRUS Dabber PORT overflow upaya port 1023 ";
aliran: to_server, didirikan, no_stream; konten: "PORT"; nocase; isdataat: 100,
relatif; PCRE: "/ ^ PORT \ s [] ^ n \ (100) / smi"; referensi: McAfee, 125300;
classtype: attemptedadmin; sid: 100000111; rev: 1;)
Tanda Aturan pertama pada overflow PORT berusaha mencoba memanfaatkan
TCP port 5554, yang menunjukkan buffer overflow dari server.The Sasser-instal
rentan aturan kedua menunjukkan upaya serupa dengan ll 1023.We port TCP
mendapatkan lebih banyak ke dalam aturan analisis dan menulis dalam bab-bab
selanjutnya, tetapi struktur dasar harus terlihat dari peraturan tersebut. Catatan
bahwa bukan kunci atau perubahan file Registry bahwa NIDS aturan mendeteksi
(meskipun HIDS pada komputer terinfeksi bisa melihat perilaku ini), tetapi
jaringan lalu lintas terlihat dari cacing dengan muatan yang khas.
Note
Untuk penjelasan menyeluruh dari cacing Dabber, yang terkait Registry kunci
diubah, dan perilakunya, melihat www.lurhq.com / dabber.html. Meskipun cacing
dapat mengganggu dan bandwidth-menyumbat, banyak keamanan
administrator masih lebih takut pada upaya mengeksploitasi ditargetkan terhadap
nilai-tinggi server. Mari kita lihat sebuah serangan terhadap server database
Oracle. Mengidentifikasi Server Eksploitasi Upaya dengan IDS Oracle TNS
Listener adalah layanan pusat untuk database Oracle. Secara default, ini adalah
tidak dilindungi dengan password pada kebanyakan kasus, meskipun sandi
dapat diatur.\
Pada Hari Valentine 2005, peneliti Alexander Kornbrust melaporkan ke
database raksasa Oracle bahwa iSQL nya * Plus, sebuah antarmuka Web untuk
SQL * Plus, dapat digunakan untuk menutup menuruni Listener.This TNS
menciptakan penolakan-of-service kondisi database. Oracle bug dikonfirmasi
pada hari berikutnya, tetapi tidak mengumumkan patch untuk beberapa Oracle
months.The Kritis Update Patch Juli 2005 (CPU Juli 2005) dibahas ini
kerentanan. Namun, karena persyaratan uptime tinggi banyak komersial
database, masih ada banyak server unpatched luar sana. Sepertinya kegilaan
yang itu server yang paling penting secara operasional dapat dianggap "terlalu
penting untuk patch, "tapi beberapa administrator memiliki sikap yang tepat.
Lainnya memang tidak sadar dari patch atau tidak memahami pentingnya patch
cepat dan teratur.
Dalam kasus ini, IDS dapat mengisi kesenjangan dan mengingatkan Anda untuk
upaya serangan pada jaringan Anda. Jika Anda tidak dapat mengetahui
mengapa pendengar database Anda terus menutup, IDS waspada log seperti
yang dihasilkan oleh aturan ini dapat memberikan berharga administrasi
informasi:
CATATAN
Untuk penjelasan menyeluruh dari kerentanan Oracle TNS Listener, lihat
di Kornbrust's write-up di www.red-databasesecurity.
com / konsultasi / oracle_isqlplus_shutdown.html. Juga, perhatikan bahwa
URL membantu direferensikan dalam aturan Snort sebelumnya! Keputusan dan
Peringatan dengan IDS Dengan IDS, akan ada beberapa positif palsu dan
beberapa negatif palsu. A false positif adalah tanda yang memicu pada lalu lintas
normal di mana tidak ada intrusi atau serangan underway.A negatif palsu adalah
kegagalan sebuah aturan untuk memicu ketika serangan yang sebenarnya
adalah berlangsung. Kebanyakan IDSes memiliki banyak, banyak positif palsu
dari kotak, dan bahwa nomor dikurangi secara bertahap melalui tuning. Mereka
biasanya dianggap buruk memiliki palsu negatif daripada positif telah palsu-Anda
selalu dapat membuang salah data, tapi sulit untuk mengetahui apa yang Anda
hilang ketika Anda tidak melihatnya! Signatures yang memiliki tingkat tinggi
positif palsu umumnya lebih berguna dibandingkan tanda tangan bahwa api
hanya ketika ada serangan yang sebenarnya, dan merupakan bagian integral
dari proses tuning adalah ngerik keluar ini positif palsu dengan menerapkan
pengetahuan tentang apa yang sebenarnya pada jaringan Anda dan apa
perangkat dimaksudkan untuk melakukan.
CATATAN
Meskipun klaim yang dibuat oleh banyak vendor dan bahkan beberapa
mengalami intrusi analis, hanya karena Anda tidak peduli tentang peristiwa
tertentu tidak berarti itu adalah positif palsu! Tidak apa-apa untuk mengatakan
Anda memperoleh benar positif yang tidak penting di lingkungan Anda atau saat
ini, tetapi jangan bingung tentang apa yang palsu positif atau negatif palsu.
Sebuah acara adalah positif palsu hanya jika aturan lalu lintas macet dan
diidentifikasi salah. Juga penting untuk mengingat bahwa IDSes tidak sangat
mudah. Pada hari-hari awal dari IDS, kertas semen oleh Tim Newsham dan Tom
Ptacek berjudul "Penyisipan, penghindaran, dan Denial of Service: Eluding
Network Intrusion Detection "membawa beberapa asli kekurangan IDSes
menjadi perhatian luas masyarakat keamanan. Dengan kreatif fragmenting
paket, atau menulis mereka dengan tumpang tindih yang akan dipasang kembali
fragmen berbeda dari individu akan menyarankan, hal itu mungkin untuk
mengirim serangan kanan bawah hidung IDSes hampir sepanjang waktu.
Banyak dari masalah sejak itu dialamatkan melalui pengenalan dan perbaikan
jaringan aliran sungai dan preprocessors-aware dan alat fragmen reassembly,
tetapi akan sangat optimis untuk berpikir bahwa tidak ada kekurangan lain
mungkin ada di penanganan lalu lintas jaringan dengan NIDS hari ini. Salah satu
kekuatan pertahanan-mendalam desain keamanan adalah bahwa kelemahan
dalam operasi satu pertahanan lebih mungkin ditutupi oleh bagian lain dari
strategi pertahanan. Berbicara dari sudut pandang bisnis praktis, banyak CIO
dan CSO akan ingin tahu apa yang diharapkan ROI untuk penyebaran semacam
ini. Kebanyakan departemen memiliki anggaran keamanan terbatas, dan ingin
menghabiskan sebagai bijaksana mungkin. Jika biaya bangunan dan
penggelaran sebuah IDS kompleks jauh lebih besar dari nilai informasi yang
Anda pernah mungkin untuk melindungi pada jaringan itu, Anda mungkin ingin
mempertimbangkan kembali strategi keamanan Anda. Dengan asumsi bahwa
Anda memiliki jaringan yang bisa mendapatkan keuntungan dari jaringan
pemantauan kemampuan sebuah IDS, kini Anda memiliki beberapa desain
keputusan untuk membuat. Jika Anda IDS menjadi inline, duduk di choke titik (s)
antara jaringan dan dunia, atau tidak? Apakah masuk akal untuk drop lalu lintas
aktif, atau Anda hanya ingin menghasilkan tanda untuk analisis tanpa
menyentuh jaringan, atau mungkin berpindah dari terakhir ke mantan? Apakah
Anda ingin respon aktif atau tidak? (Pertanyaan-pertanyaan ini akan dibahas
secara mendalam dalam Bab 11) Akhirnya., ketika mempertimbangkan
penggelaran sebuah inline atau gateway IDS, orang harus memperhitungkan
setiap enkripsi, VPN, atau jaringan terowongan IPsec lalu lintas. Jaringan
enkripsi menghilangkan kemampuan IDS agar memberitahukan pada
paket muatan terpercaya, seperti konten dienkripsi dan karenanya tidak
matchable tanpa melihat ke dalam enkripsi. Meskipun beberapa perangkat di
pasar dapat mendekripsi dienkripsi lalu lintas khusus untuk tujuan pencocokan
tanda tangan IDS, di umum, lalu lintas keluar banyak dienkripsi IDS aturan dan
mungkin memicu positif palsu secara acak dengan muatan yang dienkripsi. Saat
mengamati tempat untuk menyebarkan sebuah IDS sensor dalam jaringan
Anda, pastikan untuk menempatkannya di sisi tidak terenkripsi yang dienkripsi
terowongan, dan memiliki cara lain untuk menganalisis perangkat yang
mengandalkan lalu lintas dienkripsi. Kita akan berbicara tentang semua faktor ini
secara lebih rinci nanti dalam buku ini, tapi kami ingin kau sadar akan isu-isu
awal.
Oink!
Apakah saya menyebutkan bahwa Snort gratis? Benar, gratis.
Mengapa Intrusion
Sistem Deteksi Penting?
Semua orang akrab dengan yang sering digunakan berkata, "Apa yang Anda
tidak tahu tidak bisa melukai
Anda "Namun., siapa saja yang pernah membeli mobil yang digunakan telah
belajar secara langsung absurditas pernyataan ini. Dalam dunia keamanan
jaringan, kemampuan untuk mengetahui ketika penyusup bergerak dalam
pengintaian, mencoba kompromi sistem, atau aktivitas berbahaya lainnya dapat
berarti perbedaan antara berkompromi dan
tidak terganggu. Selain itu, dalam beberapa lingkungan, apa yang Anda tidak
tahu
langsung dapat mempengaruhi kerja-yours.With peningkatan prevalensi
konsumen
privasi hukum di negara-negara seperti Washington dan California, perusahaan
dan lainnya lembaga yang secara legal terpaksa mengungkapkan pelanggaran
data dan kompromi untuk customers.This terpengaruh mereka dapat memiliki
dampak yang luar biasa atas dikompromikan
perusahaan, termasuk pers buruk, hilangnya kepercayaan pelanggan, dan efek
resultan pada saham. Tak perlu dikatakan, banyak eksekutif ingin mencegah
semacam ini malu
untuk perusahaan mereka.
IDSes seperti Snort dapat mendeteksi ICMP dan jenis lainnya pengintai jaringan
scan yang mungkin menunjukkan serangan yang akan datang. Selain itu, IDS
dapat mengingatkan admin dari kompromi yang sukses, yang memungkinkan
dia kesempatan untuk menerapkan tindakan mitigasi sebelum kerusakan lebih
lanjut disebabkan, dan mengambil sistem offline dan mendapatkan itu siap
untuk analisis forensik untuk menentukan besarnya pelanggaran.