Los medios técnicos de IDS en realidad no son muy misteriosos. A continuación, este artículo utilizará un enfoque de "seguir la vid" para presentarle una arquitectura de nivel de entrada relativamente simple de IDS . Desde la perspectiva de la distribución del mercado y la facilidad de adquisición, es más apropiado elegir NIDS como ejemplo de implementación. Este artículo utiliza una plataforma completa de Windows para ejecutar todo el proceso de detección de intrusiones. Debido a limitaciones de espacio, se plantea desde una perspectiva de análisis cualitativo.
Conocimientos preliminares
IDS: Sistema de detección de intrusiones, una combinación inteligente de software y hardware que recopila información del sistema de red para realizar detección y análisis de intrusiones.
Hay dos organizaciones que llevan a cabo trabajos de estandarización en IDS: el Grupo de Trabajo de Detección de Intrusiones (IDWG, Intrusion Prevention Working Group) de IETF, el creador de estándares internacionales de Internet, y el Marco Común de Detección de Intrusiones (CIDF, Marco Común de Detección de Intrusiones).
Clasificación IDS: Network IDS (basado en red), Host-based IDS (basado en host), Hybrid IDS (híbrido), Consoles IDS (consola), File Integrity Checkers (comprobador de integridad de archivos), Honeypots (honeypots). sistema de generación de eventos
De acuerdo con la idea del modelo general del Sistema de Detección de Intrusiones (IDS) expuesta por CIDF, en la figura se muestra el componente de detección de intrusiones más simple con todos los elementos. Según la especificación CIDF, los datos que IDS necesita analizar se denominan colectivamente Eventos. Pueden ser paquetes de datos en la red o información obtenida del registro del sistema u otros métodos.
Sin datos que fluyan (o datos que se recopilen), un IDS es un árbol sin raíces y completamente inútil.
Como organización básica de IDS, el sistema de generación de eventos puede desempeñar un papel importante: recopila todos los eventos definidos y luego los transmite a otros componentes de una sola vez. En un entorno Windows, el enfoque básico actual es utilizar Winpcap y WinDump.
Como todos sabemos, para los sistemas de generación y análisis de eventos, el software y los programas basados en plataformas Linux y Unix son actualmente populares, de hecho, en la plataforma Windows también existe un software similar a Libpcap (que es un software necesario para Unix o; Linux para capturar paquetes de red desde el kernel) La herramienta es Winpcap.
Winpcap es una API de interfaz de red gratuita basada en Windows que configura la tarjeta de red en modo "promiscuo" y luego recorre los paquetes capturados por la red. Su tecnología es sencilla de implementar, muy portátil y no tiene nada que ver con tarjetas de red, pero no es eficiente y es adecuada para redes por debajo de 100 Mbps.
La herramienta de rastreo de red basada en Windows correspondiente es WinDump (una versión trasladada de Tcpdump a la plataforma Linux/Unix en Windows). Este software debe basarse en la interfaz Winpcap (alguien aquí llama vívidamente Winpcap: controlador de rastreo de datos). Usando WinDump, puede mostrar los encabezados de los paquetes de datos que coinciden con las reglas. Puede utilizar esta herramienta para encontrar problemas de red o monitorear las condiciones de la red. Puede monitorear de manera efectiva comportamientos seguros e inseguros de la red hasta cierto punto.
Ambos software se pueden encontrar de forma gratuita en línea y los lectores también pueden ver tutoriales de uso de software relacionados.
La siguiente es una breve introducción a los pasos para establecer la detección y recopilación de eventos.
1. Montar sistemas de software y hardware. Dependiendo del nivel de ocupación de la red, decida si utilizará una computadora normal compatible o un servidor dedicado con mayor rendimiento. Para instalar el sistema operativo Windows NT Core, se recomienda utilizar Windows Server 2003 Enterprise Edition si no se cumplen las condiciones. , también puede utilizar Windows 2000 Advanced Server. Se recomienda que el formato de partición sea el formato NTFS.
2. La división del espacio del servidor debe ser razonable y efectiva Para la instalación de programas de ejecución y el almacenamiento de registros de datos, lo mejor es colocar los dos espacios en particiones diferentes.
3. Implementación sencilla de Winpcap. Primero instale su controlador. Puede descargar el instalador automático de WinPcap (Controlador+DLL) desde su página de inicio o sitio espejo e instalarlo directamente.
Nota: Si utiliza Winpcap para el desarrollo, también deberá descargar el paquete del desarrollador.
WinPcap incluye tres módulos: El primer módulo NPF (Netgroup Packet Filter) es un archivo VxD (Virtual Device Driver). Su función es filtrar paquetes de datos y pasar estos paquetes intactos al módulo de modo de usuario. El segundo módulo, paquete.dll, proporciona una interfaz pública para la plataforma Win32. Está integrado en paquete.dll y proporciona un método de programación más conveniente y directo. El tercer módulo, Wpcap.dll, no depende de ningún sistema operativo. Es la biblioteca de enlaces dinámicos subyacente y proporciona funciones abstractas y de alto nivel. Las instrucciones de uso específicas se tratan en los principales sitios web. Cómo utilizar mejor Winpcap requiere sólidas capacidades de programación en el entorno C.
4. Creación de WinDump. Después de la instalación, ejecútelo en el modo de símbolo del sistema de Windows y los usuarios podrán comprobar el estado de la red ellos mismos sin entrar en detalles.
Si no hay problemas de compatibilidad de software y la instalación y configuración son correctas, se puede lograr la detección y recopilación de eventos.
[Cortar-Página]sistema de análisis de eventos
Dado que la mayoría de nuestras redes están conectadas mediante conmutadores Ethernet conmutados, el propósito de establecer un sistema de análisis de eventos es detectar múltiples dispositivos de firewall de red y admitir múltiples métodos de recopilación (como la recopilación basada en información de datos Snmp y Syslog) y proporcionar ciertos eventos. Procesamiento de registros, estadísticas, análisis y funciones de consulta.
El sistema de análisis de eventos es el módulo central de IDS. Su función principal es analizar varios eventos y descubrir comportamientos que violen las políticas de seguridad. Cómo establecerlo es el punto clave y difícil. Si puede escribir un sistema de software usted mismo o en colaboración con otros, debe realizar preparativos rigurosos para el desarrollo temprano, como tener una comprensión clara de los protocolos de red, los ataques de piratas informáticos y las vulnerabilidades del sistema, y luego comenzar a formular reglas y estrategias que debe basarse en tecnologías estándar y especificaciones, y luego optimizar el algoritmo para mejorar la eficiencia de ejecución, establecer un modelo de detección y simular el proceso de ataque y análisis.
El sistema de análisis de eventos reside como motor de detección en el segmento de la red de monitoreo y generalmente realiza el análisis a través de tres medios técnicos: coincidencia de patrones, análisis de protocolo y análisis de comportamiento. Cuando se detecta un determinado patrón de uso indebido, se genera un mensaje de advertencia correspondiente y se envía al sistema de respuesta. En la actualidad, utilizar el análisis de protocolos es la mejor forma de detectar en tiempo real.
Una forma posible de este sistema es utilizar un analizador de protocolos como cuerpo principal, que puede construirse sobre la base de kits de herramientas de análisis de protocolos abiertos y listos para usar, que pueden mostrar flujos de transmisión de red a nivel de paquetes y realizar advertencias automáticamente; Análisis basado en reglas de protocolo de red para detectar rápidamente la presencia de ataques, lo que permite a los programadores y administradores de red monitorear y analizar la actividad de la red para detectar y localizar fallas de manera proactiva. Los usuarios pueden probar un analizador de protocolos de red gratuito llamado Ethereal, que es compatible con sistemas Windows. Los usuarios pueden analizar los datos capturados por el sistema de generación de eventos y guardados en el disco duro. Puede explorar los paquetes capturados de forma interactiva y ver información resumida y detallada de cada paquete. Ethereal tiene una variedad de funciones potentes, como compatibilidad con casi todos los protocolos, lenguajes de filtrado enriquecidos y visualización sencilla de flujos de datos reconstruidos de sesiones TCP.
sistema responsivo
El sistema de respuesta es un sistema interactivo para personas y objetos. Se puede decir que es la estación de transferencia y la estación de coordinación de todo el sistema. Las personas son los administradores del sistema y las cosas son todos los demás componentes. Para ser más específico, el coordinador del sistema de respuesta tiene mucho que hacer: registrar eventos de seguridad, generar mensajes de alarma (como correos electrónicos), registrar registros adicionales, aislar a intrusos, finalizar procesos y prohibir la victimización de una manera preestablecida y definida. Se puede adoptar el puerto y el servicio del atacante, o incluso un contraataque; se puede adoptar una respuesta manual y una respuesta automática (respuesta basada en máquina), y una combinación de las dos será mejor.
Elementos de diseño de sistemas responsivos
(1) Recibir información de alarma de eventos del sistema de generación de eventos que ha sido filtrada, analizada y reconstruida por el sistema de análisis de eventos, y luego interactuar con el usuario (administrador) para consultar y emitir juicios de reglas y tomar acciones de gestión.
(2) Proporcionar a los administradores una interfaz para administrar el sistema de base de datos de eventos. Pueden modificar la base de reglas, configurar políticas de seguridad de acuerdo con diferentes entornos de red y leer y escribir el sistema de base de datos.
(3) Al actuar en el sistema front-end, puede administrar los sistemas de generación y análisis de eventos (llamados colectivamente detectores de eventos), clasificar y filtrar los eventos recopilados, detectados y analizados por el sistema, y volver a implementar reglas de seguridad de acuerdo con Diferentes situaciones de seguridad.
Los sistemas de respuesta y los detectores de eventos suelen implementarse como aplicaciones.
Idea de diseño: El sistema de respuesta se puede dividir en dos partes del programa, seguimiento y control. La parte de escucha vincula un puerto inactivo, recibe los resultados del análisis y otra información enviada desde el detector de eventos y convierte los archivos almacenados en el sistema de base de datos de eventos. Como administrador, el administrador puede solicitar operaciones especiales, de solo lectura y de solo lectura. a los permisos de usuario. La parte de control puede usar GTK+ para escribir GUI y desarrollar una interfaz gráfica de usuario más intuitiva. El objetivo principal es brindar a los usuarios una interfaz más conveniente y amigable para buscar información de advertencia.
sistema de base de datos de eventos
En la plataforma Windows, aunque Access es más fácil de dominar, construirlo con SQL Server 2000 es más efectivo que Access y no es difícil comenzar. Las funciones principales de este sistema son: registrar, almacenar y reorganizar información de eventos. al que pueden llamar los administradores para ver y revisar el uso forense de revisión de ataques.
La estructura de este sistema es relativamente simple y solo requiere algunas funciones básicas del software de base de datos.
Para coordinar una comunicación útil entre componentes, los componentes deben comprender correctamente la semántica de los diversos datos que se pasan entre ellos. Puede consultar el mecanismo de comunicación de CIDF para construir un modelo de 3 capas. Preste atención a la interoperabilidad entre varios componentes para garantizar la seguridad, la eficiencia y la fluidez.
La integración continuará en trabajos posteriores y se seguirán mejorando las funciones de cada componente. Se completa un marco IDS básico basado en la plataforma Windows. Si cumples con los requisitos de Internet, intenta hacer tu propio queso. Hay una dulzura indescriptible después de un arduo trabajo.
[Cortar-Página]sistema de análisis de eventos
Dado que la mayoría de nuestras redes están conectadas mediante conmutadores Ethernet conmutados, el propósito de establecer un sistema de análisis de eventos es detectar múltiples dispositivos de firewall de red y admitir múltiples métodos de recopilación (como la recopilación basada en información de datos Snmp y Syslog) y proporcionar ciertos eventos. Procesamiento de registros, estadísticas, análisis y funciones de consulta.
El sistema de análisis de eventos es el módulo central de IDS. Su función principal es analizar varios eventos y descubrir comportamientos que violen las políticas de seguridad. Cómo establecerlo es el punto clave y difícil. Si puede escribir un sistema de software usted mismo o en colaboración con otros, debe realizar preparativos rigurosos para el desarrollo temprano, como tener una comprensión clara de los protocolos de red, los ataques de piratas informáticos y las vulnerabilidades del sistema, y luego comenzar a formular reglas y estrategias que debe basarse en tecnologías estándar y especificaciones, y luego optimizar el algoritmo para mejorar la eficiencia de ejecución, establecer un modelo de detección y simular el proceso de ataque y análisis.
El sistema de análisis de eventos reside como motor de detección en el segmento de la red de monitoreo y generalmente realiza el análisis a través de tres medios técnicos: coincidencia de patrones, análisis de protocolo y análisis de comportamiento. Cuando se detecta un determinado patrón de uso indebido, se genera un mensaje de advertencia correspondiente y se envía al sistema de respuesta. En la actualidad, utilizar el análisis de protocolos es la mejor forma de detectar en tiempo real.
Una forma posible de este sistema es utilizar un analizador de protocolos como cuerpo principal, que puede construirse sobre la base de kits de herramientas de análisis de protocolos abiertos y listos para usar, que pueden mostrar flujos de transmisión de red a nivel de paquetes y realizar advertencias automáticamente; Análisis basado en reglas de protocolo de red para detectar rápidamente la presencia de ataques, lo que permite a los programadores y administradores de red monitorear y analizar la actividad de la red para detectar y localizar fallas de manera proactiva. Los usuarios pueden probar un analizador de protocolos de red gratuito llamado Ethereal, que es compatible con sistemas Windows. Los usuarios pueden analizar los datos capturados por el sistema de generación de eventos y guardados en el disco duro. Puede explorar los paquetes capturados de forma interactiva y ver información resumida y detallada de cada paquete. Ethereal tiene una variedad de funciones potentes, como compatibilidad con casi todos los protocolos, lenguajes de filtrado enriquecidos y visualización sencilla de flujos de datos reconstruidos de sesiones TCP.
sistema responsivo
El sistema de respuesta es un sistema interactivo para personas y objetos. Se puede decir que es la estación de transferencia y la estación de coordinación de todo el sistema. Las personas son los administradores del sistema y las cosas son todos los demás componentes. Para ser más específico, el coordinador del sistema de respuesta tiene mucho que hacer: registrar eventos de seguridad, generar mensajes de alarma (como correos electrónicos), registrar registros adicionales, aislar a intrusos, finalizar procesos y prohibir la victimización de una manera preestablecida y definida. Se puede adoptar el puerto y el servicio del atacante, o incluso un contraataque; se puede adoptar una respuesta manual y una respuesta automática (respuesta basada en máquina), y una combinación de las dos será mejor.
Elementos de diseño de sistemas responsivos
(1) Recibir información de alarma de eventos del sistema de generación de eventos que ha sido filtrada, analizada y reconstruida por el sistema de análisis de eventos, y luego interactuar con el usuario (administrador) para consultar y emitir juicios de reglas y tomar acciones de gestión.
(2) Proporcionar a los administradores una interfaz para administrar el sistema de base de datos de eventos. Pueden modificar la base de reglas, configurar políticas de seguridad de acuerdo con diferentes entornos de red y leer y escribir el sistema de base de datos.
(3) Al actuar en el sistema front-end, puede administrar los sistemas de generación y análisis de eventos (llamados colectivamente detectores de eventos), clasificar y filtrar los eventos recopilados, detectados y analizados por el sistema, y volver a implementar reglas de seguridad de acuerdo con Diferentes situaciones de seguridad.
Los sistemas de respuesta y los detectores de eventos suelen implementarse como aplicaciones.
Idea de diseño: El sistema de respuesta se puede dividir en dos partes del programa, seguimiento y control. La parte de escucha vincula un puerto inactivo, recibe los resultados del análisis y otra información enviada desde el detector de eventos y convierte los archivos almacenados en el sistema de base de datos de eventos. Como administrador, el administrador puede solicitar operaciones especiales, de solo lectura y de solo lectura. a los permisos de usuario. La parte de control puede usar GTK+ para escribir GUI y desarrollar una interfaz gráfica de usuario más intuitiva. El objetivo principal es brindar a los usuarios una interfaz más conveniente y amigable para buscar información de advertencia.
sistema de base de datos de eventos
En la plataforma Windows, aunque Access es más fácil de dominar, construirlo con SQL Server 2000 es más efectivo que Access y no es difícil comenzar. Las funciones principales de este sistema son: registrar, almacenar y reorganizar información de eventos. al que pueden llamar los administradores para ver y revisar el uso forense de revisión de ataques.
La estructura de este sistema es relativamente simple y solo requiere algunas funciones básicas del software de base de datos.
Para coordinar una comunicación útil entre componentes, los componentes deben comprender correctamente la semántica de los diversos datos que se pasan entre ellos. Puede consultar el mecanismo de comunicación de CIDF para construir un modelo de 3 capas. Preste atención a la interoperabilidad entre varios componentes para garantizar la seguridad, la eficiencia y la fluidez.
La integración continuará en trabajos posteriores y se seguirán mejorando las funciones de cada componente. Se completa un marco IDS básico basado en la plataforma Windows. Si cumples con los requisitos de Internet, intenta hacer tu propio queso. Hay una dulzura indescriptible después de un arduo trabajo.