Sarana teknis IDS sebenarnya tidak terlalu misterius. Selanjutnya, artikel ini akan menggunakan pendekatan "ikuti pokok permasalahan" untuk memperkenalkan kepada Anda arsitektur IDS tingkat pemula yang relatif sederhana. Dari segi distribusi pasar dan kemudahan akuisisi, lebih tepat memilih NIDS sebagai contoh penerapan. Artikel ini menggunakan platform Windows lengkap untuk menjalankan seluruh proses deteksi intrusi. Karena keterbatasan ruang, artikel ini dinyatakan dari perspektif analisis kualitatif.
Pengetahuan awal
IDS: Sistem Deteksi Intrusi, kombinasi cerdas antara perangkat lunak dan perangkat keras yang mengumpulkan informasi sistem jaringan untuk melakukan deteksi dan analisis intrusi.
Ada dua organisasi yang melakukan pekerjaan standardisasi pada IDS: Kelompok Kerja Deteksi Intrusi (IDWG, Kelompok Kerja Deteksi Intrusi) dari IETF, pembuat standar Internet internasional, dan Kerangka Deteksi Intrusi Umum (CIDF, Common Intrusion Detection Framework).
Klasifikasi IDS: IDS Jaringan (berbasis jaringan), IDS berbasis host (berbasis host), IDS Hibrid (hybrid), IDS Konsol (konsol), Pemeriksa Integritas File (pemeriksa integritas file), Honeypots (honeypots). sistem pembangkitan acara
Menurut ide model umum Sistem Deteksi Intrusi (IDS) yang diuraikan oleh CIDF, komponen deteksi intrusi paling sederhana dengan semua elemennya ditunjukkan pada gambar. Menurut spesifikasi CIDF, data yang perlu dianalisis oleh IDS secara kolektif disebut Peristiwa. Peristiwa dapat berupa Paket Data dalam jaringan, atau Informasi yang diperoleh dari Log Sistem atau metode lainnya.
Tanpa data yang mengalir masuk (atau data dikumpulkan), IDS hanyalah sebuah pohon tanpa akar dan sama sekali tidak berguna.
Sebagai organisasi dasar IDS, sistem pembuatan peristiwa dapat memainkan peran besar. Sistem ini mengumpulkan semua peristiwa yang ditentukan dan kemudian mengirimkannya ke komponen lain sekaligus. Dalam lingkungan Windows, pendekatan dasar saat ini adalah dengan menggunakan Winpcap dan WinDump.
Seperti kita ketahui bersama, untuk pembuatan event dan sistem analisis event, software dan program berbasis platform Linux dan Unix saat ini sedang populer, bahkan pada platform Windows juga terdapat software yang mirip dengan Libpcap (yang merupakan software yang diperlukan untuk Unix atau Linux untuk menangkap paket jaringan dari kernel) Alatnya adalah Winpcap.
Winpcap adalah API antarmuka jaringan berbasis Windows gratis yang mengatur kartu jaringan ke mode "promiscuous" dan kemudian melakukan loop melalui paket yang ditangkap jaringan. Teknologinya sederhana untuk diterapkan, sangat portabel, dan tidak ada hubungannya dengan kartu jaringan, namun tidak efisien dan cocok untuk jaringan di bawah 100 Mbps.
Alat sniffing jaringan berbasis Windows yang sesuai adalah WinDump (versi porting dari Tcpdump pada platform Linux/Unix di Windows). Perangkat lunak ini harus didasarkan pada antarmuka Winpcap (seseorang di sini dengan jelas menyebut Winpcap: driver sniffing data). Dengan menggunakan WinDump dapat menampilkan header paket data yang sesuai dengan aturan. Anda dapat menggunakan alat ini untuk menemukan masalah jaringan atau memantau kondisi jaringan Anda dapat secara efektif memantau perilaku aman dan tidak aman dari jaringan hingga batas tertentu.
Kedua perangkat lunak tersebut dapat ditemukan secara online gratis, dan pembaca juga dapat melihat tutorial penggunaan perangkat lunak terkait.
Berikut ini adalah pengenalan singkat tentang langkah-langkah untuk menetapkan deteksi dan pengumpulan peristiwa.
1. Merakit sistem perangkat lunak dan perangkat keras. Tergantung pada kesibukan jaringan, putuskan apakah akan menggunakan komputer biasa yang kompatibel atau server khusus dengan kinerja lebih tinggi. Untuk menginstal sistem operasi Windows inti NT, disarankan untuk menggunakan Windows Server 2003 Enterprise Edition , Anda juga dapat menggunakan Windows 2000 Advanced Server. Format partisi disarankan menggunakan format NTFS.
2. Pembagian ruang server harus masuk akal dan efektif. Untuk instalasi program eksekusi dan penyimpanan log data, yang terbaik adalah menempatkan dua ruang di partisi yang berbeda.
3. Implementasi sederhana dari Winpcap. Pertama instal drivernya. Anda dapat mengunduh penginstal otomatis WinPcap (Driver+DLL) dari beranda atau situs mirrornya dan menginstalnya secara langsung.
Catatan: Jika Anda menggunakan Winpcap untuk pengembangan, Anda juga perlu mengunduh paket Pengembang.
WinPcap mencakup tiga modul: Modul pertama NPF (Netgroup Packet Filter) adalah file VxD (Virtual Device Driver). Fungsinya untuk menyaring paket data dan meneruskan paket tersebut secara utuh ke modul mode pengguna. Modul kedua packet.dll menyediakan antarmuka publik untuk platform Win32. Modul ini dibangun di atas packet.dll dan menyediakan metode pemrograman yang lebih nyaman dan langsung. Modul ketiga Wpcap.dll tidak bergantung pada sistem operasi apa pun. Ini adalah pustaka tautan dinamis yang mendasarinya dan menyediakan fungsi tingkat tinggi dan abstrak. Petunjuk penggunaan khusus tercakup di situs web utama. Cara menggunakan Winpcap dengan lebih baik memerlukan kemampuan pemrograman lingkungan C yang kuat.
4. Pembuatan WinDump. Setelah instalasi, jalankan dalam mode command prompt Windows, dan pengguna dapat memeriksa sendiri status jaringan tanpa merincinya.
Jika tidak ada masalah kompatibilitas perangkat lunak dan instalasi serta konfigurasi sudah benar, deteksi dan pengumpulan peristiwa dapat dilakukan.
[Potong Halaman]sistem analisis peristiwa
Karena sebagian besar jaringan kami terhubung dengan switch Ethernet yang diaktifkan, tujuan membangun sistem analisis peristiwa adalah untuk mendeteksi beberapa perangkat firewall jaringan dan mendukung beberapa metode pengumpulan (seperti pengumpulan berdasarkan informasi data Snmp dan Syslog) log, dan menyediakan peristiwa tertentu pemrosesan log, statistik, analisis dan fungsi kueri.
Sistem analisis peristiwa adalah modul inti IDS. Fungsi utamanya adalah menganalisis berbagai peristiwa dan menemukan perilaku yang melanggar kebijakan keamanan. Jika Anda dapat menulis sistem perangkat lunak sendiri atau bekerja sama dengan orang lain, Anda perlu melakukan persiapan yang matang untuk pengembangan awal, seperti memiliki pemahaman yang jelas tentang protokol jaringan, serangan peretas, dan kerentanan sistem, lalu mulai merumuskan aturan dan strategi, yang mana harus didasarkan pada standar dan spesifikasi teknologi standar, dan kemudian mengoptimalkan algoritma untuk meningkatkan efisiensi eksekusi, membangun model deteksi, dan mensimulasikan proses serangan dan analisis.
Sistem analisis peristiwa menempatkan mesin pendeteksi di segmen jaringan pemantauan dan umumnya melakukan analisis melalui tiga cara teknis: pencocokan pola, analisis protokol, dan analisis perilaku. Ketika pola penyalahgunaan tertentu terdeteksi, pesan peringatan terkait dibuat dan dikirim ke sistem respons. Saat ini, menggunakan analisis protokol adalah cara terbaik untuk mendeteksi secara real time.
Salah satu cara yang mungkin dilakukan sistem ini adalah dengan menggunakan penganalisis protokol sebagai badan utama, yang dapat dibangun berdasarkan kit alat analisis protokol terbuka yang sudah jadi; penganalisis protokol dapat menampilkan aliran transmisi jaringan tingkat paket dan secara otomatis melakukan peringatan berdasarkan aturan protokol jaringan. Analisis untuk mendeteksi dengan cepat adanya serangan, memungkinkan pemrogram dan administrator jaringan untuk memantau dan menganalisis aktivitas jaringan untuk secara proaktif mendeteksi dan menemukan kesalahan. Pengguna dapat mencoba penganalisis protokol jaringan gratis bernama Ethereal, yang mendukung sistem Windows. Pengguna dapat menganalisis data yang ditangkap oleh sistem pembangkitan peristiwa dan disimpan di hard disk. Anda dapat menelusuri paket yang diambil secara interaktif dan melihat ringkasan dan informasi rinci untuk setiap paket. Ethereal memiliki beragam fitur canggih, seperti mendukung hampir semua protokol, bahasa pemfilteran yang kaya, dan kemudahan melihat aliran data sesi TCP yang direkonstruksi.
sistem responsif
Sistem respon merupakan sistem interaktif antara manusia dan objek. Dapat dikatakan sebagai stasiun transfer dan stasiun koordinasi dari keseluruhan sistem. Orang-orangnya adalah administrator sistem dan segala sesuatunya adalah komponen lainnya. Untuk lebih spesifiknya, koordinator sistem respons mempunyai banyak hal yang harus dilakukan: mencatat peristiwa keamanan, membuat pesan alarm (seperti email), mencatat log tambahan, mengisolasi penyusup, menghentikan proses, dan melarang viktimisasi dengan cara yang telah ditentukan sebelumnya. . Pelabuhan dan layanan penyerang, atau bahkan serangan balik; respons manual dan respons otomatis (respon berbasis mesin) dapat diadopsi, dan kombinasi keduanya akan lebih baik.
Elemen desain sistem responsif
(1) Menerima informasi alarm peristiwa dari sistem pembangkitan peristiwa yang telah disaring, dianalisis, dan direkonstruksi oleh sistem analisis peristiwa, dan kemudian berinteraksi dengan pengguna (administrator) untuk menanyakan dan membuat penilaian aturan serta mengambil tindakan manajemen.
(2) Menyediakan antarmuka bagi administrator untuk mengelola sistem basis data peristiwa. Mereka dapat mengubah basis aturan, mengonfigurasi kebijakan keamanan sesuai dengan lingkungan jaringan yang berbeda, dan membaca dan menulis sistem basis data.
(3) Ketika bertindak pada sistem front-end, ia dapat mengelola sistem pembuatan dan analisis peristiwa (secara kolektif disebut pendeteksi peristiwa), mengklasifikasikan dan memfilter peristiwa yang dikumpulkan, dideteksi, dan dianalisis oleh sistem, dan menerapkan kembali aturan keamanan sesuai dengan situasi keamanan yang berbeda.
Sistem respons dan pendeteksi kejadian biasanya diimplementasikan sebagai aplikasi.
Ide desain: Sistem respons dapat dibagi menjadi dua bagian program, pemantauan dan pengendalian. Bagian mendengarkan mengikat port idle, menerima hasil analisis dan informasi lain yang dikirim dari detektor kejadian, dan mengubah file yang disimpan ke dalam sistem database kejadian, Sebagai administrator, administrator dapat memanggil operasi baca-saja, modifikasi, dan khusus sesuai untuk izin pengguna. Bagian kontrol dapat menggunakan GTK+ untuk menulis GUI dan mengembangkan antarmuka pengguna grafis yang lebih intuitif. Tujuan utamanya adalah memberi pengguna antarmuka yang lebih nyaman dan ramah untuk menelusuri informasi peringatan.
sistem basis data acara
Di bawah platform Windows, meskipun Access lebih mudah dikuasai, membangunnya dengan SQL Server 2000 lebih efektif daripada Access, dan tidak sulit untuk memulainya. Fungsi utama sistem ini adalah: merekam, menyimpan, dan mengatur ulang informasi acara, yang dapat dipanggil oleh administrator untuk melihat dan meninjau penggunaan forensik tinjauan Serangan.
Struktur sistem ini relatif sederhana dan hanya memerlukan beberapa fungsi dasar perangkat lunak database.
Untuk mengoordinasikan komunikasi yang bertujuan antar komponen, komponen harus memahami dengan benar semantik berbagai data yang dikirimkan di antara komponen tersebut. Anda dapat merujuk pada mekanisme komunikasi CIDF untuk membangun model 3 lapis. Perhatikan interoperabilitas antar berbagai komponen untuk memastikan keamanan, efisiensi, dan kelancaran.
Integrasi akan terus dilakukan pada pekerjaan selanjutnya, dan fungsi masing-masing komponen akan terus ditingkatkan. Kerangka kerja IDS dasar berdasarkan platform Windows telah selesai. Jika Anda memenuhi persyaratan internet, cobalah membuat keju sendiri. Ada rasa manis yang tak terlukiskan setelah bekerja keras.
[Potong Halaman]sistem analisis peristiwa
Karena sebagian besar jaringan kami terhubung dengan switch Ethernet yang diaktifkan, tujuan membangun sistem analisis peristiwa adalah untuk mendeteksi beberapa perangkat firewall jaringan dan mendukung beberapa metode pengumpulan (seperti pengumpulan berdasarkan informasi data Snmp dan Syslog) log, dan menyediakan peristiwa tertentu pemrosesan log, statistik, analisis dan fungsi kueri.
Sistem analisis peristiwa adalah modul inti IDS. Fungsi utamanya adalah menganalisis berbagai peristiwa dan menemukan perilaku yang melanggar kebijakan keamanan. Jika Anda dapat menulis sistem perangkat lunak sendiri atau bekerja sama dengan orang lain, Anda perlu melakukan persiapan yang matang untuk pengembangan awal, seperti memiliki pemahaman yang jelas tentang protokol jaringan, serangan peretas, dan kerentanan sistem, lalu mulai merumuskan aturan dan strategi, yang mana harus didasarkan pada standar dan spesifikasi teknologi standar, dan kemudian mengoptimalkan algoritma untuk meningkatkan efisiensi eksekusi, membangun model deteksi, dan mensimulasikan proses serangan dan analisis.
Sistem analisis peristiwa menempatkan mesin pendeteksi di segmen jaringan pemantauan dan umumnya melakukan analisis melalui tiga cara teknis: pencocokan pola, analisis protokol, dan analisis perilaku. Ketika pola penyalahgunaan tertentu terdeteksi, pesan peringatan terkait dibuat dan dikirim ke sistem respons. Saat ini, menggunakan analisis protokol adalah cara terbaik untuk mendeteksi secara real time.
Salah satu cara yang mungkin dilakukan sistem ini adalah dengan menggunakan penganalisis protokol sebagai badan utama, yang dapat dibangun berdasarkan kit alat analisis protokol terbuka yang sudah jadi; penganalisis protokol dapat menampilkan aliran transmisi jaringan tingkat paket dan secara otomatis melakukan peringatan berdasarkan aturan protokol jaringan. Analisis untuk mendeteksi dengan cepat adanya serangan, memungkinkan pemrogram dan administrator jaringan untuk memantau dan menganalisis aktivitas jaringan untuk secara proaktif mendeteksi dan menemukan kesalahan. Pengguna dapat mencoba penganalisis protokol jaringan gratis bernama Ethereal, yang mendukung sistem Windows. Pengguna dapat menganalisis data yang ditangkap oleh sistem pembangkitan peristiwa dan disimpan di hard disk. Anda dapat menelusuri paket yang diambil secara interaktif dan melihat ringkasan dan informasi rinci untuk setiap paket. Ethereal memiliki beragam fitur canggih, seperti mendukung hampir semua protokol, bahasa pemfilteran yang kaya, dan kemudahan melihat aliran data sesi TCP yang direkonstruksi.
sistem responsif
Sistem respon merupakan sistem interaktif antara manusia dan objek. Dapat dikatakan sebagai stasiun transfer dan stasiun koordinasi dari keseluruhan sistem. Orang-orangnya adalah administrator sistem dan segala sesuatunya adalah komponen lainnya. Untuk lebih spesifiknya, koordinator sistem respons mempunyai banyak hal yang harus dilakukan: mencatat peristiwa keamanan, membuat pesan alarm (seperti email), mencatat log tambahan, mengisolasi penyusup, menghentikan proses, dan melarang viktimisasi dengan cara yang telah ditentukan sebelumnya. . Pelabuhan dan layanan penyerang, atau bahkan serangan balik; respons manual dan respons otomatis (respon berbasis mesin) dapat diadopsi, dan kombinasi keduanya akan lebih baik.
Elemen desain sistem responsif
(1) Menerima informasi alarm peristiwa dari sistem pembangkitan peristiwa yang telah disaring, dianalisis, dan direkonstruksi oleh sistem analisis peristiwa, dan kemudian berinteraksi dengan pengguna (administrator) untuk menanyakan dan membuat penilaian aturan serta mengambil tindakan manajemen.
(2) Menyediakan antarmuka bagi administrator untuk mengelola sistem basis data peristiwa. Mereka dapat mengubah basis aturan, mengonfigurasi kebijakan keamanan sesuai dengan lingkungan jaringan yang berbeda, dan membaca dan menulis sistem basis data.
(3) Ketika bertindak pada sistem front-end, ia dapat mengelola sistem pembuatan dan analisis peristiwa (secara kolektif disebut pendeteksi peristiwa), mengklasifikasikan dan memfilter peristiwa yang dikumpulkan, dideteksi, dan dianalisis oleh sistem, dan menerapkan kembali aturan keamanan sesuai dengan situasi keamanan yang berbeda.
Sistem respons dan pendeteksi kejadian biasanya diimplementasikan sebagai aplikasi.
Ide desain: Sistem respons dapat dibagi menjadi dua bagian program, pemantauan dan pengendalian. Bagian mendengarkan mengikat port idle, menerima hasil analisis dan informasi lain yang dikirim dari detektor kejadian, dan mengubah file yang disimpan ke dalam sistem database kejadian, Sebagai administrator, administrator dapat memanggil operasi baca-saja, modifikasi, dan khusus sesuai untuk izin pengguna. Bagian kontrol dapat menggunakan GTK+ untuk menulis GUI dan mengembangkan antarmuka pengguna grafis yang lebih intuitif. Tujuan utamanya adalah memberi pengguna antarmuka yang lebih nyaman dan ramah untuk menelusuri informasi peringatan.
sistem basis data acara
Di bawah platform Windows, meskipun Access lebih mudah dikuasai, membangunnya dengan SQL Server 2000 lebih efektif daripada Access, dan tidak sulit untuk memulainya. Fungsi utama sistem ini adalah: merekam, menyimpan, dan mengatur ulang informasi acara, yang dapat dipanggil oleh administrator untuk melihat dan meninjau penggunaan forensik tinjauan Serangan.
Struktur sistem ini relatif sederhana dan hanya memerlukan beberapa fungsi dasar perangkat lunak database.
Untuk mengoordinasikan komunikasi yang bertujuan antar komponen, komponen harus memahami dengan benar semantik berbagai data yang dikirimkan di antara komponen tersebut. Anda dapat merujuk pada mekanisme komunikasi CIDF untuk membangun model 3 lapis. Perhatikan interoperabilitas antar berbagai komponen untuk memastikan keamanan, efisiensi, dan kelancaran.
Integrasi akan terus dilakukan pada pekerjaan selanjutnya, dan fungsi masing-masing komponen akan terus ditingkatkan. Kerangka kerja IDS dasar berdasarkan platform Windows telah selesai. Jika Anda memenuhi persyaratan internet, cobalah membuat keju sendiri. Ada rasa manis yang tak terlukiskan setelah bekerja keras.