Intrusion Detection System (IDS)
description
Transcript of Intrusion Detection System (IDS)
![Page 1: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/1.jpg)
Intrusion Detection System (IDS)
Teemu KokkinenKevät 2007
![Page 2: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/2.jpg)
Esityksen Sisältö
● IDS-järjestelmät palveluna● Snort ja sen toiminta● Snortin asennus ja konfigurointi● Lisäohjelmat● Ylläpito● Vaihtoehto● Johtopäätökset ja tiivistelmä
![Page 3: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/3.jpg)
IDS-järjestelmät palveluna
● Parantavat tietoturvaa: - Automatisoivat verkon tarkkailua - Kuuntelevat verkossa kulkevia paketteja ja tutkivat näitä - Normaalisti eivät kuormita verkkoa paljon
![Page 4: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/4.jpg)
IDS-järjestelmät palveluna
● IDS-järjestelmät voidaan jakaa kolmeen eri tyyppiin:
- Network-based IDS - Host-based IDS - Application-based IDS
![Page 5: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/5.jpg)
IDS-järjestelmät palveluna
● Hyökkäysten analysointi perustuu ennalta tunnettuihin sääntöihin
● Uhkien havaittaessa IDS-järjestelmä voi reagoida aktiivisesti ja/tai passiivisesti sille annettujen ohjeiden mukaan
![Page 6: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/6.jpg)
Snort ja sen toiminta
● Snort ohjelmana: - Ilmainen opensource-ohjelma - Toimii monilla käyttöjärjestelmillä - Tekijät päivittävät usein - Niittänyt mainetta jo vuosia
![Page 7: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/7.jpg)
Snort ja sen toiminta
● Snortin toiminta jakautuu neljään osaan: - Haistelija ja dekooderi - Datan siistimiseen käytettävä prosessori - Uhkien tunnistamiseen oma tunnistusmoottorinsa - Viimeisenä uhkista ilmoittaminen ja lokitiedoston kirjanpito
![Page 8: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/8.jpg)
Snort ja sen toiminta
![Page 9: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/9.jpg)
Snortin asennus ja konfigurointi
● Asennetaan Snort 2.6.0 Debian Linuxille
● Vaatimuksena asennukselle - libcap-kirjasto
● Toteutuksen kannalta myös hyvä olla - MySQL-tietokanta ja PHP
![Page 10: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/10.jpg)
Snortin asennus ja konfigurointi
● Helpoin tapa asentaa Snort on aptituden oman käyttöliittymän avulla
● Toinen tapa on suoraan komentoriviltä hakea se verkosta wget-komennolla
osoitteesta: http://www.snort.org/dl/old/snort-2.6.0.tar.gz● Snortin asentamisen yhteydessä on
muistettava linkittää sen tiedostoja yhteen tietokannan kanssa komennolla
# ./configure --with-mysql --enable-dynamicplugin
![Page 11: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/11.jpg)
Snortin asennus ja konfigurointi
● Snortille on myös hyvä tehdä oma käyttäjäryhmä sekä omat kansiot lokitiedostoille
● Ohjelmalle haetaan erikseen omat sääntönsä netin kautta. Ilman rekisteröitymistä ne löytää osoitteesta:
http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
![Page 12: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/12.jpg)
Snortin asennus ja konfigurointi
● Säännöt puretaan yhteen kaikkien Snortin mukana tulleiden *.conf- ja *.map-tiedostojen kanssa.
● Sen jälkeen määritellään pääkonfiguraatiotiedostoon snort.conf kotiverkko (dmz-verkko), ulkopuolinen verkko ja kansiopolku missä säännöt löytyvät.
![Page 13: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/13.jpg)
Snortin asennus ja konfigurointi
● Snortin käynnistyskomento:# /usr/local/bin/snort -Dq -u snort -g snort -
c /etc/snort/snort.conf● Sitten tietokannan konfigurointi Snortin
kanssa● Asennetaan salasana ja avataan MySQL-
terminaali● Snortille tehdään oma tietokanta, annetaan
oikeudet ja asetaan tietokannalle salasana.
![Page 14: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/14.jpg)
Snortin asennus ja konfigurointi
● Taulut tehdään Snortin mukana tulevien omien mallien pohjalta:
# cd /usr/local/src/snort-2.6.0/schemas/# mysql -u root -p < create_mysql snort● snort.conf-tiedostosta otetaan pois
kommenteista MySQL-tietokantaa koskeva rivi.
![Page 15: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/15.jpg)
Lisäohjelmat
● Basic Analysis and Security Engine (BASE)● Oinkmaster● Barnyard
![Page 16: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/16.jpg)
Lisäohjelmat● Barnyard löytyy myös netistä:http://www.snort.org/dl/barnyard/barnyard-
0.2.0.tar.gz● Barnyard myös linkitetään MySQL-
tiedostoihin komennolla:# ./configure --enable-mysql● Snortin tietokantakäyttö otetaan pois päältä
tiedostosta snort.conf ja rivit jotka alkavat output alert_unified ja output log_unified
otetaan pois kommenteista.
![Page 17: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/17.jpg)
Lisäohjelmat● Barnyardin omaan konfiguraatiotiedostoonbarnyard.conf kirjoitetaan: - oman koneen - verkkolaitteen nimi - kommentoidaan kaikki output sanalla alkavat kohdat paitsi output log_acid_db niminen kohta joka jätetään päälle.
![Page 18: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/18.jpg)
Lisäohjelmat● Barnyard käyttää apuna Snortin lokeja.
Luodaan tiedosto bylog.waldo johon tulee Snortin lokin polku, lokin tiedostonimi ja annetaan oletusaikaleima.
● Barnyardin käynnistyskomento:# /usr/local/bin/barnyard -c
/etc/snort/barnyard.conf -g /etc/snort/gen-msg.map -s /etc/snort/sid-msg-map -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo &
![Page 19: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/19.jpg)
Ylläpito
● Snortin tietokannan katselu:# mysql -u -root -p
mysql> use snort;mysql> show tables;
tai sitten vain
# mysql -uroot -pmypassword -D snort -e "select count(*) from event"
![Page 20: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/20.jpg)
Ylläpito● Käynnistys-skripti on kätevä tapa
käynnistää Snort aina koneen alotuksessa. - Skriptia varten tehdään oma tiedosto ja sinne tulevat Snortin (sekä myös Barnyardin) käynnistyskomennot
- Lopuksi siitä tehdään suoritettava tiedosto ja linkitetään yhteen tarvittavien
kansioiden kanssa # chmod +x /etc/init.d/snort-barn# update-rc.d snort-barn defaults 95
![Page 21: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/21.jpg)
Vaihtoehto
● Cisco Security Agent - Toimii monilla käyttöjärjestelmillä - Kaupallinen - Laaja tietoturvapaketti
![Page 22: Intrusion Detection System (IDS)](https://reader035.fdocuments.in/reader035/viewer/2022062301/56814789550346895db4b963/html5/thumbnails/22.jpg)
Johtopäätökset ja tiivistelmä
● IDS-järjestelmät on kohtuullinen parannus verkkojen tietoturvaan ja tukevat muita tietoturvaa parantavia sovelluksia kuten palomuuri ja virustorjunta
● Suurin osa IDS-systeemeista verkkopohjasia, joita löytyy ilmaisina ja kaupallisina
● Ohjelman säännöstöä on ylläpidettävä jotta järjestelmä säilyisi hyödyllisenä
● Taitavat hakkerit voivat silti huijata IDS-järjestelmiä