Teks ini membahas sistem deteksi intrusi berbasis jaringan (NIDS) dan beberapa contoh NIDS komersial dan open source seperti BlackICE Defense dan Snort. Teks ini juga membahas manfaat membangun NIDS terdistribusi dan contoh signature khusus untuk lingkungan jaringan sendiri.
1. Jaringan berbasis sistem deteksi intrusi (NIDSs) adalah jalan terbaik untuk memantau
jaringan berdasarkan anomali yang bisa menunjukkan tanda-tanda serangan atau
gangguan elektronik pada jaringan Anda. Dalam bab ini, kami mengeksplorasi kebutuhan
NIDS dan mendiskusikan beberapa penawaran yang tersedia. Secara khusus, kita melihat
perangkat komersial seperti BlackICE Pertahanan, serta sebuah alat open-source yang
sangat populer disebut Snort. Kami juga membahas keuntungan yang terkait dengan
membangun NIDS didistribusikan dan memberikan contoh signature khusus untuk
penciptaan lingkungan jaringan Anda sendiri.
Perjalanan kita dimulai dari serangan jaringan tunggal dan berpuncak dengan banyak
sekali upaya gangguan di dunia nyata. Tujuannya adalah untuk menampilkan Anda
dengan pengetahuan yang diperlukan untuk memahami dasar-dasar deteksi intrusi dan
untuk mencetuskan beberapa ide tentang bagaimana teknologi ini dapat digunakan pada
jaringan Anda sendiri. Akhirnya, setelah membaca bab ini, Anda harus dapat
membedakan antara pemindaian tidak berbahaya dan Pemindaian berbahaya dan
bagaimana bereaksi dan merespons sesuai.
Serangan ancaman kebanyakan datang dari internet
mendeteksi serangan ini memungkinkan sebuah situs untuk menyesuaikan pertahanan
jika kita mengkorelasikan data dari banyak sumber kita meningkatkan kemampuan kita
statistik bahwa 90% dari semua serangan yang dilakukan oleh orang dalam yang sudah
mati keliru
Kebutuhan Jaringan berbasis Intrusion Detection
Serangan orang dalam dapat menyebabkan kerusakan yang lebih keuangan dari serangan
pihak ketiga karena orang dalam memiliki pengetahuan yang mendalam tentang jaringan
internal. Audit tradisional dan mekanisme keamanan dapat mengatasi ancaman dan
organisasi dapat menuntut. Perhatian yang lebih besar meskipun sebaiknya serangan yang
berasal dari Internet.
Volume serangan yang berasal dari jaringan publik (atau seharusnya!) Secara signifikan
lebih tinggi daripada jumlah serangan yang berasal dari host internal. Serangan yang
paling luar dapat dihentikan oleh firewall dikonfigurasi dengan benar. Namun, kita harus
prihatin dengan serangan yang mampu melewati, atau menembus, perimeter luar. Anda
mungkin akan bertanya apakah firewall dapat mencegah serangan banyak atau sebagian,
maka mengapa kita perlu khawatir tentang beberapa yang membuatnya melalui?
Alasannya sederhana: volume. Banyaknya serangan luar memukul jaringan Anda
akhirnya akan mengambil tol mereka dan kompromi sistem. Ada pepatah yang
mengatakan bahwa bahkan seekor tupai buta dapat menemukan kacang, dan yang dapat
diterapkan ke jaringan perimeter. Serangan pada jaringan Anda, bahkan jika salah
sasaran, pada akhirnya akan mengakibatkan aktivitas berbahaya melewati perimeter Anda
dan menyebabkan kerusakan pada sistem Anda.
2. Dengan mendeteksi bahkan serangan paling jinak memukul perimeter jaringan kami,
kami dapat menggunakan data untuk benar menyesuaikan pertahanan sistem kami dan
mengurangi atau membuat sia-sia sebagian besar serangan. Sebagai kecanggihan
serangan berbasis jaringan terus meningkat, kita berutang kepada diri kita sendiri untuk
menggunakan NIDS untuk menyelidiki gangguan, menganalisis ancaman dan
mempersiapkan penanggulangan dibutuhkan. Ada juga keuntungan yang berbeda
menjadi mampu untuk mengkorelasikan data dari berbagai penyebaran NIDS untuk
meningkatkan kemampuan kita dalam menanggapi berbagai serangan. Kami akan
membahas korelasi acara kemudian dalam bab ini
Di dalam Serangan Jaringan
Beberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebih
dikenal sebagai WinNuke. WinNuke mengirimkan sebuah paket tunggal dibuat khusus
dengan data OOB ke port mendengarkan jarak jauh, TCP 139. Hal ini dikenal untuk
kecelakaan versi Windows. (Perhatikan bahwa Out of Band adalah keliru, WinNuke
benar-benar menggunakan bendera TCP Mendesak dan pointer mendesak.) Bahkan jika
NetBIOS tidak diaktifkan, sistem rentan diserang oleh WinNuke biasanya akan
mengalami ditakuti Meskipun ini "Blue Screen of Death." adalah alat serangan tanggal,
itu pekerjaan yang sangat baik dalam menjelaskan konsep visual dari serangan berbasis
jaringan. Hal ini juga harus dicatat bahwa masih ada jutaan Windows 95 mesin yang
terkoneksi ke Internet. Adalah aman untuk mengatakan bahwa alat ini serangan masih
bisa menurunkan mesin yang tak terhitung jumlahnya.
3. Di dalamnya Serangan Jaringan
Beberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebih
dikenal sebagai WinNuke. WinNuke mengirimkan sebuah paket tunggal dibuat khusus
dengan data OOB ke port mendengarkan secara jarak jauh, TCP 139. Hal ini dikenal
untuk kecelakaan versi Windows. (Perhatikan bahwa Out of Band adalah keliru,
WinNuke benar-benar menggunakan bendera TCP Mendesak dan pointer mendesak.)
Bahkan jika NetBIOS tidak diaktifkan, sistem rentan diserang oleh WinNuke biasanya
akan mengalami ditakuti Meskipun ini "Blue Screen of Death." adalah alat serangan
tanggal, itu pekerjaan yang sangat baik dalam menjelaskan konsep visual dari serangan
berbasis jaringan. Hal ini juga harus dicatat bahwa masih ada jutaan Windows 95 mesin
yang terkoneksi ke Internet. Adalah aman untuk mengatakan bahwa alat ini serangan
masih bisa menurunkan mesin yang tak terhitung jumlahnya.
Bagaimana kita menciptakan paket khusus yang mampu membawa Windows 95 bertekuk
lutut? Jawabannya cukup sederhana, Nuke.eM. Nuke'em (ditampilkan dalam slide
sebelumnya) bekerja dengan membentuk koneksi TCP dengan host remote dan
memberikan paket ilegal. Ini tidak membutuhkan keahlian apapun dan dapat mengubah
orang yang paling kompeten menjadi seorang hacker.
4. Screenshot sebelumnya menunjukkan bagaimana serangan Nuke.eM terdeteksi dan
diblokir oleh Perlindungan PC BlackICE, firewall pribadi terkemuka komersial. Area
yang disorot menggambarkan probe NetBIOS (Nuke.eM) terdeteksi dan berhasil diblok
enam kali.
Kita bisa melihat bahwa NetBIOS pelabuhan penyelidikan dari alamat IP 192.168.1.100
terdeteksi dan diblokir oleh mesin firewall. Jendela Informasi di bagian bawah layar
memberikan penjelasan singkat tentang serangan dan mengklik tombol "saran" ke kanan
akan memberikan informasi lebih rinci.
catatan
Internet Security Systems (ISS) mengakuisisi lini produk BlackICE pada bulan April
2001. PC Suite BlackICE perlindungan korban pertama mereka dari akuisisi baru
mereka.
Oke, mari kita meringkas apa yang telah kita lihat seperti yang kita telah meneliti
serangan jaringan tunggal. Kami telah mengidentifikasi kerentanan, cacat dalam
pelaksanaan Microsoft jaringan. Kami telah menjelaskan cacat teknis dan menunjukkan
salah satu alat penyerang yang mengambil keuntungan dari ancaman. Akhirnya, kita telah
melihat deteksi dan alat perlindungan dalam tindakan. Sebenarnya, ini adalah contoh lain
dari ancaman, penanggulangan, dan kontra-balasan. Winnuke itu menjatuhkan sistem kiri
dan kanan dan Microsoft menanggapi dengan patch. Alih-alih memperbaiki masalah
pertama kalinya, mereka merilis cepat hack. Para penyerang langsung membalas dengan
modifikasi alat serangan mereka, akhirnya memaksa Microsoft untuk merilis patch
lengkap yang cukup diselesaikan masalah awal.
5. Jaringan Intrusion Detection 101
Umumnya, ketika kita berpikir tentang menggunakan firewall pribadi, itu adalah untuk
melindungi PC kita yang langsung terhubung ke Internet. Namun, kita tidak selalu
berpikir tentang deteksi: Banyak personal firewall di pasaran saat ini memiliki
kemampuan untuk memblokir serangan dan mereka juga dapat mendeteksi dan log
serangan. Logging serangan memungkinkan seorang analis untuk mempelajari atribut
serangan. Padahal, dengan meningkatnya tingkat instalasi broadband, firewall pribadi
dengan kemampuan deteksi intrusi menjadi sensor jaringan yang sangat berharga bagi
masyarakat IDS. Pusat Internet Storm memiliki klien gratis yang dapat digunakan
bersama dengan firewall pribadi banyak dan sistem deteksi intrusi yang akan
memungkinkan Anda untuk meng-upload log Anda ke situs mereka untuk penelitian
lebih lanjut dan penyelidikan. Jika ingin cara untuk melakukan bagian Anda dan
memberikan kembali kepada komunitas keamanan informasi, maka ini adalah
kesempatan besar. Informasi lengkap tersedia dari situs web di http://isc.incidents.org.
Pentingnya Logging
Screen shot sebelumnya menggambarkan aktivitas di jaringan sangat sibuk dan
bermusuhan. Kita bisa melihat berbagai serangan, termasuk ping nmap, probe port SNMP
dan zona DNS transfer. Meskipun berguna untuk dapat melihat peristiwa secara real-
time, bahkan lebih berguna untuk memiliki kemampuan untuk melihat peristiwa ini
dengan protocol analyzer jaringan seperti Ethereal untuk mendapatkan pemahaman yang
lebih baik tentang serangan itu dan bagaimana hal itu terjadi. Kebanyakan firewall
pribadi mencakup fitur pencatatan yang harus diaktifkan untuk mendapatkan hasil
maksimal dari produk.
6. Logging merupakan bagian integral dari deteksi intrusi. Mampu merujuk kembali ke log
setelah peristiwa terjadi sangat berguna dari perspektif pembelajaran dan dalam kasus
penuntutan pidana. Setelah log dari peristiwa yang menyebabkan kompromi akan
menjadi aset berharga jika Anda mencari kerusakan atau penuntutan dari serangan
jaringan atau sistem kompromi.
Dalam contoh ini, kami menunjukkan bagaimana mengaktifkan logging di personal
firewall BlackICE. Pengaturan firewall mesin dikelola dari menu alat dan dapat dengan
mudah diakses dari layar utama. Melihat sekeliling, kita dapat melihat beberapa tab yang
memungkinkan Anda untuk mengubah fungsi dari firewall. Untuk tujuan kita, kita fokus
pada Log evidence dan pilihan Packet Log.
Hal ini penting untuk memastikan bahwa penebangan diaktifkan pada tab Log Bukti.
Sisanya cukup jelas, tetapi berguna untuk menggunakan tanda% pada akhir awalan
berkas EVD. Menggunakan karakter khusus akan menambahkan cap tanggal / waktu
untuk file-file log. Hal ini sangat membantu dalam acara yang Anda butuhkan untuk
kembali dan mencari informasi untuk serangan yang terjadi pada waktu tertentu. Anda
juga mungkin ingin menyesuaikan ukuran file maksimum dan jumlah maksimum
pengaturan file untuk mencerminkan jaringan Anda.
Fitur lain yang berguna adalah tab Log paket, sehingga memungkinkan fitur Packet Log
dari BlackICE memungkinkan Anda untuk menangkap semua lalu lintas yang datang di
antarmuka menyimak. Hal ini dapat membuktikan sangat berharga ketika Anda perlu
melakukan diagnosa jaringan atau hanya untuk belajar bagaimana jaringan Anda
beroperasi pada berbagai titik dalam waktu. Namun, ingat bahwa dengan fitur ini
diaktifkan, sejumlah besar ruang disk akan dikonsumsi untuk mengakomodasi semua lalu
7. lintas jaringan. Anda mungkin ingin menonton ruang disk yang tersisa ketika
menggunakan fitur ini logging.
catatan
BlackICE sering dianggap sebagai IDS berbasis host karena biasanya diinstal pada mesin
individu, tapi mari kita berpikir tentang apa yang benar-benar melakukan - memantau
lalu lintas jaringan. Sebuah HIDS tradisional memonitor file log, perubahan file,
perubahan registry, dan hak-hak lainnya / izin dari sistem operasi host. Kami
menggunakan BlackICE dalam bab ini untuk menggambarkan dasar-dasar jaringan
berbasis sistem deteksi intrusi.
Melihat Log BlackICE
Ada kesalahpahaman umum bahwa BlackICE file log dapat dilihat hanya dengan
menginstal aplikasi pihak ketiga komersial seperti VisualICE atau es. Meskipun add-on
program melakukan pekerjaan yang besar parsing data dan membuat laporan tampak
bagus, satu-satunya hal yang diperlukan adalah untuk melihat file dengan sebuah alat
analisis paket yang tersedia. Dalam contoh sebelumnya, kami menggunakan sebuah
program bernama Ethereal untuk melihat data. Ethereal, program paket gratis analisis
adalah alat yang sangat baik untuk decoding dan menampilkan file BlackICE log. Dalam
instalasi default BlackICE, file log yang terletak di
C:. Program files ISS BlackICE % EVD * enc
catatan
Ethereal merupakan salah satu aplikasi pembunuh untuk bangkit dari gerakan open-
8. source. Hal ini dikelola oleh kelompok inti pengembang yang terus menambahkan fitur
dan memperbarui program. Hal ini mudah digunakan, fleksibel, dan bebas untuk men-
download. Saya dengan senang hati akan meletakkannya melawan setiap analyzer
protokol yang tersedia secara komersial. Meskipun contoh kita adalah dasar, fitur lain
dari Ethereal adalah senilai check-out. Ethereal dapat didownload di
http://www.ethereal.com.
BlackICE Visualisasi Alat
Screenshot sebelumnya menunjukkan lonjakan aktivitas di jendela Acara yang
merupakan hasil dari seseorang yang menyelidik jaringan ini. Ini memberikan kami ide
mana harus mencari untuk menemukan data dalam file log bukti. Sebagai sedikit
membantu, menemukan waktu perkiraan dari suatu peristiwa dan jika Anda kebetulan
mencari scan, selalu melihat file terbesar pertama sejak port scan cenderung
menghasilkan banyak lalu lintas.
Layar ini juga memungkinkan Anda untuk melihat tren jaringan selama periode menit,
jam, atau hari dan dapat berguna dalam mempelajari seluk-beluk jaringan Anda. Sebagai
contoh, sekali baseline telah ditetapkan, maka Anda dapat menggunakan layar ini untuk
mencari setiap anomali yang tidak berkorelasi dengan pola lalu lintas jaringan yang biasa.
Kami menggunakan mesin berbasis host intrusion detection untuk mengkaji bagaimana
fungsi jaringan serangan a. Sekarang bahwa Anda memiliki pemahaman dasar serangan
berbasis jaringan, mari kita mengalihkan fokus kita ke NIDS.
9. Intrusion Detection Sistem libpcap Berbasis
Kebanyakan sistem intrusi berbasis jaringan deteksi berbasis libpcap. Libpcap merupakan
paket open source menangkap perpustakaan yang dirancang untuk mengambil data dari
kernel dan menyebarkannya ke lapisan aplikasi. Libpcap memiliki keuntungan menjadi
bebas untuk menggunakan dan telah terbukti, sejak awal, menjadi sangat diandalkan.
Produk yang menggunakan library Libpcap termasuk Shadow, Snort, Cisco IDS
(sebelumnya NetRanger), dan NFR.
catatan
Informasi lengkap, termasuk kode sumber untuk Libpcap dapat didownload di:
http://www.tcpdump.org/. Jika Anda berjalan pada platform berbasis Windows, Anda
sedang beruntung! Winpcap adalah versi Win32 dari Libpcap dan dapat diunduh di
http://winpcap.polito.it/.
Pada diagram sebelumnya, Anda melihat sensor remote mengumpulkan data dan
meneruskannya ke komputer lain untuk tampilan dan analisis. The Intrusion Detection
System Bayangan menggunakan konfigurasi ini dan merupakan salah satu dari beberapa
NIDS yang pada dasarnya menggunakan "bodoh" probe untuk meneruskan paket itu
menangkap ke perangkat lain untuk diproses. Jika Sensor bayangan harus gagal atau
entah bagaimana bisa dikompromikan, tidak ada informasi tentang situs akan hilang.
Jaringan Intrusion Detection dengan Snort
Snort adalah tagihan sebagai sistem deteksi intrusi jaringan ringan. Ini diperkenalkan
kepada komunitas open-source pada tahun 1998 oleh pengembang, Marty Roesch. Snort
10. telah cepat memperoleh reputasi untuk menjadi solusi NIDS sangat efisien, ringan, dan
rendah-biaya dan berutang popularitas dan fitur yang luas untuk tim dikhususkan
pengembang inti dan basis pengguna aktif.
Desain Snort memungkinkan untuk integrasi yang mudah ke sebagian besar jaringan dan
dapat dikonfigurasi untuk memantau beberapa situs, jaringan, atau interface dengan
relatif mudah. Ini memiliki aturan untuk header isi paket decodes dan paket. Ini berarti
dapat mendeteksi data-driven serangan seperti buffer overflow kesalahan, serta serangan
terhadap URL yang rentan dan script (misalnya, RDS dan phf).
Karena Snort adalah open-source dan memiliki semacam komunitas pengguna aktif, itu
adalah sistem yang ideal untuk belajar bagaimana menganalisis intrusi dan bereksperimen
dengan konfigurasi yang berbeda. Ada banyak komunitas yang dikembangkan perangkat
tambahan yang tersedia (kita bahas nanti dalam bab ini) dan bantuan hanya sebuah pesan
e-mail jauhnya.
catatan
Sebuah sumber daya yang besar untuk mempelajari lebih lanjut tentang Snort adalah
FAQ, yang tersedia di: http://www.snort.org/docs/faq.html. The FAQ secara aktif
dipelihara dan menjelaskan banyak fitur dari Snort.
Menganalisis Snort sebuah Mendeteksi
Snort mendeteksi ditampilkan dalam file log, seperti yang ditunjukkan sebelumnya, dan
11. dipisahkan oleh baris kosong. Log adalah file flat, file teks juga disebut, dan memiliki
keuntungan karena mudah untuk menyortir, pencarian, dan menganalisis. Keuntungan
lain dari Snort log adalah kemampuan untuk memotong dan menyisipkan berbagai
mendeteksi ke dalam pesan e-mail yang akan dikirim ke analis lain, CIRT Anda, atau
pihak yang bersalah. Fitur ini sendiri tidak tersedia dalam produk komersial banyak.
Dalam contoh ini, Anda akan melihat bahwa nama mendeteksi, RPC Query Info,
terdaftar di bagian atas dan ringkasan informasi yang diberikan di bawah ini. Tiga baris
terakhir menunjukkan payload yang sebenarnya dari serangan tertentu. Prosedur
panggilan remote (RPC) serangan seperti ini adalah bagian dari daftar Top FORESEC
Dua puluh (http://www.foresecacademy.com/top20/) dan dapat menunjukkan potensi
kerentanan pada jaringan Anda. Bayar perhatian khusus untuk semua nol dalam payload.
Hal ini karena RPC paket yang empuk untuk 32-bit kata-kata, sering untuk membawa
bidang yang hanya memiliki pilihan tunggal bilangan bulat, sehingga angka nol
merupakan indikasi Remote Procedure Calls. Item lain layak disebutkan adalah string
hex, 01 86 A0 00 00 00 02 00 00 00 04. Ini adalah string untuk perintah rpcinfo-p yang
berisi daftar RPC port yang tersedia pada host remote.
Menulis Aturan Snort
Snort menyediakan kemampuan untuk membuat aturan adat, atau tanda tangan, untuk
menyaring konten yang spesifik. Kode sumber dikompilasi menyediakan ratusan pra-
tertulis aturan. Namun, mungkin ada saat-saat ketika Anda perlu membuat aturan yang
tidak disertakan secara default. Mengingat dunia yang serba cepat deteksi intrusi dan
bahwa ancaman baru yang dirilis pada hari, kemampuan untuk cepat menulis aturan adat
sering dapat membuat atau menghancurkan karir Anda sebagai keamanan informasi yang
profesional!
Aturan Snort sederhana untuk menulis namun cukup kuat untuk menangkap jenis
sebagian besar lalu lintas. Ada lima pilihan untuk diingat ketika menulis aturan:
• Pass - Ini berarti Anda ingin drop paket dan mengambil tindakan apapun.
• Log - Pilihan ini memungkinkan Anda untuk log tindakan tertentu ke lokasi yang Anda
tentukan dalam file konfigurasi snort Anda (misalnya snort.conf).
*Tanda - Pilihan ini memungkinkan Anda untuk mengirimkan alert ke server syslog
pusat, jendela pop-up melalui SMB atau menulis file ke file terpisah waspada. File
waspada umumnya digunakan dengan alat seperti Swatch (Watcher Sederhana) untuk
mengingatkan analis untuk tanda-tanda intrusi atau elektronik gangguan. Setelah
peringatan tersebut dikirim, paket yang login.
• Aktifkan - Opsi ini menentukan bahwa Snort adalah untuk mengirim peringatan dan
kemudian mengaktifkan aturan lain yang dinamis. Misalnya, Snort dapat dikonfigurasi
untuk secara dinamis memblokir