Sisteme de Detectie a Intruziunilor. Instalarea Si Configurarea Hids

Cuprins:

Introducere

IDS (Intrusion Detection System) este un dispozitiv sau aplicație folosită la inspectarea traficului pe rețele și la alertarea utilizatorilor sau administratorilor atunci când au loc tentative de acces neautorizate. Acesta monitorizează evenimentele care au loc într-un calculator sau intr-o rețea și le analizează pentru posibile incidente de securitate, sau amenințări de încălcare a politicilor de securitate. Incidentele de securitate provin din multe cauze, cum ar fi al malware-ului (de exemplu, viermi, spyware), atacuri externe de pe Internet, utilizatorii autorizați intr-un sistem care abuzează de privilegiile lor sau încearca să obțină privilegii suplimentare pentru care nu sunt autorizați. Un sistem de detectare a intruziunilor (IDS) este software-ul care automatizează procesul de detectare a intruziunilor. Un sistem de prevenire a intruziunilor (IPS) este software-ul care are toate capacitățile sistemului de detectare a intruziunilor și care poate să le contracareze.

Cele două metode principale de monitorizare sunt: cea bazată pe semnături și cea bazată pe anomalii. în funcție de dispozitivul sau aplicația folosite, IDS poate să alerteze utilizatorul sau administratorul, poate bloca traficul. Detecția pe bază de semnătura presupune compararea traficului de pe rețea cu o bază de date care conține semnături ale metodelor de atac cunoscute. Detecția pe bază de anomalii raportează traficul curent de pe rețea la un tipar al traficului protocolului scanat, pentru a depista orice situație neobișnuita. IDS poate fi plasat strategic pe orice rețea, ca și sistem NIDS (Network-Based Intrusion Detection) sau ca și sitem HIDS HIDS (Host-Based Intrusion Detection).

Există două tipuri de SDI-uri: bazate pe rețea și bazate pe gazda. Un SDI bazat pe rețea este un dispozitiv pasiv care verifica toate pachetele care trec printr-un anumit segment de rețea. Uitându-se în pachete se uita la semnături care ar putea indica un posibil atac și da alarma când observa un comportament pus sub semnul întrebării. Un SDI bazat pe gazda rulează pe un server individual evaluează log-urile căutând indicii ale vreunui atac.

Funcționalitățile unui SDI pot fi distribuite în mod logic în trei componente: senzori, analizatori și o interfața cu utilizatorul.

Senzorii sunt responsabili cu colectarea datelor. Exemple de tipuri de intrări pentru un senzor sunt pachetele din rețea, fișierele log. Senzorii colectează și trimit mai departe informația la analizatori.

Analizatorii primesc intrarea de la unu sau mai mulți senzori sau de la alți analizatori. Analizatorul este responsabil cu determinarea apariției unei intruziuni. Răspunsul acestei componente este un indicator ce indica dacă a apărut sau nu o intrusiune. Răspunsurile pot fi stocate pentru o evidență ulterioară.

Interfața cu utilizatorul a unui SDI oferă posibilitatea utilizatorului de a vedea rezultatele sistemului sau de a controla comportamentul acestuia. în unele sisteme, aceasta interfața poate fi asociata unei componente „manager”, „director” sau „consolă”.

Un SDI poate să aibă un sistem proiectat și configurat să fie vizibil de un intrus și care să para vulnerabil numit „honey pot”. Acest sistem oferă un mediu și informații adiționale care pot fi folosite pentru a analiza intruziunea. „Honey pot” servește ca senzor pentru un SDI, așteptând atacurile intrușilor asupra sistemului aparent vulnerabil. Acest sistem are capacitatea de a detecta intruziunile intr-un mediu controlat și de a păstra o stare cunoscuta.

Detectarea intruziunilor și răspunsul la acestea sunt gândite ca fiind două procese separate. Răspunsurile tipice la intruziuni includ reducerea traficului suspicios de către firewall, refuzul de a accesa anumite resurse care au un comportament anormal, sau expunerea activității altor gazde sau site-uri implicate în atac.

Un SDI bazat pe rețea poate să ofere un răspuns aflat la nivelul gazdă, ca de exemplu modificarea configurației fișierelor de pe un anumit sistem de calcul. Răspunsul poate consta în reactualizarea configurărilor unor componente ale SDI-ului ceea ce înseamnă ca un răspuns al unui SDI sau a unei componente poate avea efect asupra comportamentului altui SDI sau altei componente. Din aceste motive, detectarea și răspunsul la intruziune trebuie să coexiste. SDI-urile pot fi clasificate în : Aplicații, Gazda, Rețea, Multi-rețea/ infrastructura

Tipuri de sisteme IDS

Sistemele IDS se pot clasifica în funcție de zona de unde acestea își colectează datele. Sursa de date poate proveni de o singura stație de lucru sau de la un întreg segment al unei rețele. Cele care își colectează informația de la un singur sistem se numesc HIDS sau host based IDS. Sistemele IDS care își colectează informația din întreaga rețea sau un segment al rețelei se numesc NIDS sau network based IDS.

2. SISTEME DE PREVENIRE A INTRUZIUNILOR (IPS)

Utilizarea echipamentelor de tip router și aplicarea listelor de control al accesului, împreuna cu controlul traficului ce intră și iese din rețele, sunt tehnicile principale pentru protecție perimetrala. Făcând parte din categoria tehnicilor de tip pasiv, cele două nivele de protecție au fost continuu optimizate din punct de vedere al performantelor, funcționalităților și al administrării. Creșterea susținuta a numărului de atacuri și a complexității acestora, precum și necesitatea de tehnologii de protecție activa, sunt motivele ce au condus la introducerea în domeniu de noi tehnologii. Acum câțiva ani a apărut conceptul de IDS – Intrusion Detection System (Sisteme de detecția intruziunilor).

Definit ca un sistem de identificare, inventariere și raportare a traficului de rețea neautorizat, un sistem IDS reprezintă o soluție alternativa ce permite administratorilor de rețea și de securitate să identifice în timp optim încercările de atac asupra unui sistem informatic. Comparativ cu un sistem firewall, care, pe bază politicilor de tip „allow” și a celor de tip „deny” controlează traficul la perimetrul unei rețele, sistemele IDS analizează traficul de date permis de către un firewall sau router pentru identificarea tentativelor de atac. Tehnicile de detecție al intruziunilor sunt bazate pe identificarea semnăturilor de atac și anomaliilor de trafic la nivel de aplicație. Alertarea în cazul unui potențial atac este un serviciu extrem de util pentru administratori, care pot astfel interveni în timp optim pentru protejarea rețelei. Sistemele IDS au crescut astfel în utilizare și în prezență pe piață.

Un sistem IPS este în principiu un sistem IDS cu funcționalitate de blocare a atacurilor detectate. Pe lângă diferența principala, respectiv modul pasiv sau proactiv de protecție exista și alte elemente distincte precum modul de amplasare în cadrul unei rețele informatice (sistemele IPS sunt de obicei amplasate „inline” – similar cu echipamentele router și firewall), cerințele hardware din punct de vedere al procesării. Sistemele IPS pot fi folosite acționând ca un firewall de nivel aplicație (Proxy firewall), soluțiile IPS asigura o granularitate mare din punct de vedere al modalităților de blocare parțiala a atacurilor la nivel aplicație. Implementarea de controale automatizate pentru răspuns în cazuri de atac are totuși și dezavantaje. Un sistem IPS nu va lasă pachetele de date să treacă decât după inspecția conținutului acestora la nivel aplicativ. Acesta introduce, întârzieri în timpul de răspuns al serviciilor în rețea motiv pentru care sistemele IPS de tip „inline” trebuie să aibă la bază hardware performant care să asigure cerințele de trafic specifice.

2.1 Tehnologii IPS

Exista mai multe tipuri de soluții IPS, acestea fiind determinate de poziționarea lor în cadrul unui sistem informatic:

– IPS la nivel de rețea (NIPS – Network IPS): NISP combina funcționalități ale sistemelor IDS , IPS și firewall, și uneori le găsim sub denumirea de IDS in-line sau Gateway IDS (GIDS). NISP poate doar preveni pachetele de date infectate care traversează dispozitivul. Pentru o funcționare eficienta a IPS, fluxurile de date trebuie forțate să treacă prin acest dispozitiv.

– IPS la nivel de server/stație de lucru (HIPS – Host IPS): HIPS poate monitoriza fluxurile de date și mediile specifice aplicațiilor (locațiile fișierelor și setările regiștrilor pentru server-ul web de exemplu) pentru a proteja aplicațiile de atacuri neidentificate încă. Implementările uzuale sunt de tipul NISP, deoarece acestea protejează nu doar un singur host, ci mai multe servere aplicative din cadrul unei rețele de date.

– Network Behavior Analysis (NBA), care examinează traficul de pe rețea pentru a identifica fluxurile de trafic neobișnuite, cum ar fi distribuit Denial of Service (DDoS) atacuri, pentru anumite forme de malware-ului (viermi, backdoors), precum și încălcări în politica de securitate.

Un sistem IPS la nivel de rețea poate reacționa la diversele tipuri de atacuri prin blocarea unui port de switch care generează trafic neautorizat, generarea și aplicare automata de reguli de filtrare trafic la nivel de router sau firewall (blocarea unei adrese individuale IP sau a unei întregi clase), închiderea automata a conexiunilor client-server în cadrul cărora este detectat trafic neautorizat sau alterarea conținutului datelor la nivel aplicativ pentru anularea/minimizarea efectelor acestora asupra țintei atacului.

2.2 Metode de detecție pentru IPS

IPS utilizează mai multe metode pentru a detecta incidente: pe bază de semnătură, pe bază de anomalie, analiza protocolului. IPS poate utiliza mai multe metode de detectare separat sau simultan pentru a oferi o detecție mai amplă și exactă.

2.2.1 Detecția pe bază de semnătura

O semnătură este un model care corespunde unei amenințări cunoscute. Detecția pe bază de semnături consta în compararea unui eveniment cu un anumit tip de comportament cunoscut. Sistemul compară semnătura evenimentului cu semnăturile cunoscute din bază de date. Dacă acestea se potrivesc, atunci se declanșează automat o politica de securitate sau o regula bine stabilită pentru acel tip de semnătură. De exemplu o încercare de telnet cu un nume de utilizator de "root", poate reprezenta încălcarea politicii de securitate a unei organizații sau un e-mail cu subiectul "Poze!" și cu un fișier atașat de tip executabil sun caracteristicile unei forme de malware.

Detecția pe bază de semnătura este foarte eficientă în detectarea amenințărilor cunoscute, dar în mare parte ineficiente la detectarea amenințărilor necunoscute anterior, sau în amenințările deghizate prin utilizarea de tehnici de evaziune.

2.2.2 Detecția bazată pe anomalii

Analizatorul determină ce înseamnă un trafic normal pentru rețea și orice alt trafic care nu se înscrie în categorie este marcat ca fiind suspicios. Profilurile sunt dezvoltate în urma monitorizării caracteristicilor tipice de activitate pe o perioadă de timp. Un profil pentru o rețea ar putea arăta că activitatea Web cuprinde o medie de 13% din lărgimea de banda de Internet . Dacă acesta lărgime de banda creste, sistemul alertează un administrator. Se pot crea profiluri cum ar fi numărul de e-mail-urile trimise de către un utilizator, numărul de încercări de autentificare eșuate, nivelul de utilizare al procesorului pe un sistem de calcul intr-un anumit interval de timp.

Principalul beneficiu al acestui tip de detecție este că poate fi foarte eficientă în detectarea amenințărilor necunoscute anterior. Un profil este generat inițial pe o perioadă mare de timp (zile, uneori săptămâni). Aceasta perioada este numita perioada de formare..

2.2.3 Stateful Protocol Analysis

Stateful Protocol Analysis este procesul de comparare a profilurilor de trafic pentru fiecare protocol. Spre deosebire de detecția bazată pe anomalii , care utilizează calculatorul gazdă sau rețeaua pentru a genera profiluri de activitate și trafic, Stateful Protocol Analysis se bazează pe analiza de trafic conform specificațiilor producătorului a celui protocol de comunicare. Orice ieștehnici de evaziune.

2.2.2 Detecția bazată pe anomalii

Analizatorul determină ce înseamnă un trafic normal pentru rețea și orice alt trafic care nu se înscrie în categorie este marcat ca fiind suspicios. Profilurile sunt dezvoltate în urma monitorizării caracteristicilor tipice de activitate pe o perioadă de timp. Un profil pentru o rețea ar putea arăta că activitatea Web cuprinde o medie de 13% din lărgimea de banda de Internet . Dacă acesta lărgime de banda creste, sistemul alertează un administrator. Se pot crea profiluri cum ar fi numărul de e-mail-urile trimise de către un utilizator, numărul de încercări de autentificare eșuate, nivelul de utilizare al procesorului pe un sistem de calcul intr-un anumit interval de timp.

Principalul beneficiu al acestui tip de detecție este că poate fi foarte eficientă în detectarea amenințărilor necunoscute anterior. Un profil este generat inițial pe o perioadă mare de timp (zile, uneori săptămâni). Aceasta perioada este numita perioada de formare..

2.2.3 Stateful Protocol Analysis

Stateful Protocol Analysis este procesul de comparare a profilurilor de trafic pentru fiecare protocol. Spre deosebire de detecția bazată pe anomalii , care utilizează calculatorul gazdă sau rețeaua pentru a genera profiluri de activitate și trafic, Stateful Protocol Analysis se bazează pe analiza de trafic conform specificațiilor producătorului a celui protocol de comunicare. Orice ieșire din tiparul standard de comunicare al protocolului , sistemul se alertează.

Această analiză a protocolului poate identifica secvențe de comenzi neașteptate sau comenzi ce nu corespund din punct de vedere cronologic cu specificațiile de comunicare ale protocolului.

Principalul dezavantaj al analizei protocolului de comunicare este faptul ca necesita foarte multe resurse de sistem, în special procesor și memorie RAM. Un al dezavantaj îl reprezintă faptul ca aceasta analiza nu poate detecta atacurile care nu încalcă caracteristicile general acceptabile ale protocoalelor de comunicare.

2.3 Componentele și Arhitectura IPS

Componentele într-o soluție IPS sunt:

Senzorii și agenții de monitorizare și analiză a activității;

Serverul de Management, un dispozitiv centralizat care primește informații de la senzori sau de la agenți și ii gestionează .

Serverele de Management sunt pe două nivele:

Database Server. Un server de baze de date care stochează informațiile înregistrate de senzori și agenți

Consola. O consolă este un program care oferă o interfață pentru IPS utilizatorilor și administratorilor. Unele consolele sunt utilizate numai pentru administrarea IPS, cum ar fi configurarea senzorilor sau agenților , în timp ce alte console sunt utilizate strict pentru monitorizare și analiză. Unele console IPS oferă capacități de administrare și de monitorizare.

2.3.1 Arhitecturi de rețea

Componentele IPS pot fi conectate intre ele printr-un standard de organizare a rețelelor sau printr-o rețea separată strict concepute pentru securitate și un software de management de

Imaginea 1 – Arhitectura unui sistem IDS

rețea. În cazul în care este folosit un software de management pe rețea, trebuie instalate programe client pe fiecare dintre senzorii existenți. Fiecare program client de management trebuie conectat la softul principal de management

2.3.2 Crearea de jurnale

IDPS efectuează operațiuni ample de stocare a datelor în legătură cu evenimentele detectate. Aceste date pot fi folosite pentru a confirma validitatea alertelor, anchetarea incidentelor, evenimentelor și corelarea între IPS și alte surse de stocare log-uri. Câmpurile de date frecvent utilizate de către IDPS sunt data și ora, tipul evenimentului, importanța evenimentului (prioritate, severitate mare, impact, de încredere). Tehnologiile IPS permit administratorilor să stocheze jurnalele la nivel local și să trimită copii ale jurnalelor în sistemele de management centralizat al acestora. Jurnalele trebui să fie stocate atât la nivel local cât și central, pentru a susține integritatea și disponibilitatea datelor. Toate sistemele IDPS din rețea trebuie să aibă ceasurile sincronizate folosind Network Time Protocol (NTP), sau prin ajustări manuale, astfel încât intrările lor au timpii corelați.

2.3.3 Network-Based IPS

TCP / IP este utilizat pe scară largă în întreaga lume pentru a oferi rețea de comunicații. Standardul TCP / IP de comunicații este compus din patru straturi care lucrează împreună. Când un utilizator dorește să facă un transfer de date în rețea, datele sunt transmise de la cel mai înalt nivel prin straturi intermediare la nivelul cel mai scăzut, cu fiecare strat adăugând mai multe informații. Cel mai mic strat trimite datele fizice acumulate prin intermediul rețelei de date și sunt apoi transmise prin straturi până la destinație. În esență, datele prezentate de un strat este încapsulat într-un recipient mai mare decât stratul de sub el.

Application Layer. Acest strat trimite și primește date pentru aplicații speciale, cum ar fi Domain Name System (DNS), Hypertext Transfer Protocol (HTTP), și Simple Mail Transfer Protocol (SMTP).

Transport Layer. Acest strat oferă conexiune orientată spre servicii de Transmitere Control Protocol (TCP) și User Datagram Protocol (UDP) sunt frecvent utilizate de protocoalele de transport.

IP (Internet Protocol) Layer (cunoscut și sub numele de Network Layer). Acest strat creează trasee peste pachetele de rețele. IPv4 este fundamental rețea strat de protocol pentru TCP / IP. Alte des utilizate protocoale de la nivelul de rețea sunt IPv6, Internet Control Message Protocol (ICMP), și Internet Group Management Protocol (IGMP).

Hardware Layer. Acest strat se ocupă de comunicațiile de pe rețeaua la nivelul componentele fizice.

Cele patru TCP / IP straturi lucrează împreună pentru a transfera date între gazde. Rețeaua pe bază de IDPS efectuează analize la nivelul fiecărui strat. Analiza are loc pentru a identifica posibilele atacuri.

2.3.4 Abilități de prevenire a incidentelor

Rețeaua bazată pe senzori IPS oferă capabilități diferite de prevenire a incidentelor. Aceste abilități sunt grupate în funcție de tipul senzorului de pe rețea.

– Senzori pasivi

Un senzor pasiv poate încercare de a termina sesiunile TCP existente, prin trimiterea de pachete TCP reinițializațe la ambele stații. Senzorul face acest lucru pentru a întrerupe conexiunea. Scopul este de a opri un atac înainte ca acesta să reușească. Această tehnică este aplicabil numai pentru TCP, ea nu poate fi folosită pentru atacuri transportate în alte protocoale, cum ar fi UDP și ICMP.

Imaginea 2 – Arhitectura Senzorilor Pasivi

– Senzori Inline

Senzorii Inline oferă capabilități care pot fi folosite pentru a respinge orice activitate suspecta pe rețea. În cazul în care un anumit protocol este folosit necorespunzător, cum ar fi pentru un atac DoS, malware-ului de distribuție, peer-to-peer pentru partajarea de fișiere, unii senzori în linie pot limita procentul de lățime de banda pe care protocolul îl poate folosi. Acest lucru are un impact negativ pentru ca poate limita accesul la unele resurse ale rețelei.

Imaginea 3 – Arhitectura Senzor IDPS Inline

2.4 Network Behavior Analysis (NBA)

(NBA) analizează traficul de pe rețea sau face statistici pentru fluxuri de trafic neobișnuit, cum ar fi Denial of Service (DDoS) atacuri, pentru anumite forme de malware-ului (de exemplu, viermi, backdoors), precum și încărcări ale politicilor de securitate. NBA au senzori și console de management oferind aceleași soluții ca serverele de management.

2.4.1 Locațiile Senzorilor

Cei mai mulți senzori pot fi alocați pasivi în puncte cheie de monitorizare cum ar fi diviziuni între rețele, precum segmentul cheie al rețelei , cum ar fi zona demilitarizată (DMZ) . Senzorii Inline sunt, de obicei, așezări în imediata vecinătate a firewall-urilor, de multe ori între firewall și router-ul de frontiera către Internet pentru a limita posibilele atacuri către firewall.

Tehnologiile NBA oferă capabilități extinse de colectare de informații. Senzori pot crea automat și pot menține liste comunicații intre gazde. Acestea pot monitoriza utilizarea port-urilor și a traficului dintre ele. Informațiile colectate în mod obișnuit pentru fiecare gazdă include următoarele:

Adresă IP;

Sistem de operare;

Serviciile utilizate, inclusiv perioada de utilizare a rotocoalelor TCP și UDP,porturile utilizate;

Alte echipamente implicate în comunicare.

2.4.2 Posibilități de creare a jurnalelor

Tehnologiile NBA oferă informații extinse în crearea log-urilor în privința datelor ce au legătura cu evenimentele detectate. Aceste date pot fi folosite pentru a confirma validitatea alertelor, pentru a investiga incidentele, și pentru corelarea evenimentelor între soluția NBA și alte surse de stocare. Câmpurile de date stocate de către NBA sunt:

timp (data și ora);

tipul alertei;

rating-ul alertei (o prioritate, de severitate, de impact, de încredere);

De rețea, de transport, precum și aplicarea stratului de protocoale;

Sursa de destinație și de adrese de IP;

Sursă și destinație către porturile TCP sau UDP sau ICMP, tipurile și codurile;

alte pachete ce conțin antete ale domeniilor, TTL.

2.4.3 Tipuri de evenimente detectate

Tipurile de evenimente cel mai frecvent depistate de senzorii NBA sunt:

Denial of Service (DoS), atacuri distribuite de Denial of service [DDoS]. Aceste atacuri implica de obicei o creștere semnificativa a lățimii de banda sau un număr mare de conexiuni.

Scanare. Detecția scanării porturilor și a IP-urilor dintr-o rețea.

Viermii. Unii viermi se propaga rapid și folosesc o lățime de bandă mare. Viermii pot fi de asemenea detectați, deoarece aceștia provoacă calculatoarele gazde să comunice unul cu celalalt pe porturi ce nu sunt utilizate în mod normal. Alți viermi efectuează scanări de porturi sau de adrese de IP.

Cereri de servicii neașteptate (tunele, protocoale, backdoors). Acestea sunt detectate de Stateful protocol prin metode de analiză, care pot determina dacă activitatea conexiunii este în concordanță cu cererea așteptata protocol.

3.Sisteme de detecție a intruziunilor bazate pe gazde (HIDS)

Un sistem de detecție a intruziunilor bazat pe gazdă asigură un audit pentru fișierele log, fișierele de sistem și resursele de pe calculatoarele gazdă. Un avantaj al unui sistem HIDS este acela că poate monitoriza procesele sistemului de operare și poate proteja resursele critice ale sistemului, inclusiv fișierele ce pot exista doar pe un anumit host. O modalitate simplă de detecție a intruziunilor pe calculatoare este aceea de activare a fișierelor de log pe gazda respectivă. Acest procedeu poartă numele de detecție pasivă. Acest caz necesită o mare cantitate de analiză manuală a acestor fișiere de tip log. Mecanismele software de detecție a intruziunilor necesită un agent software instalat pe fiecare gazdă pentru monitorizarea activității executate pe/către gazdă. Software-ul agent rulează o analiză de detecție a intruziunilor și protejează gazda.

Într-o implementare tipică HIDS, agenții sunt instalați pe servere accesibile public, cum ar fi serverele de mail și cele de aplicații. Agenții raportează evenimentele unei console server central situată în interiorul firewall-ului companiei sau poate trimite un e-mail administratorului de rețea. În acest caz software-ul agent are rolul de protecție a serverului consolă.

Mecanismele HIDS pot oferi suport atât pentru detecția pasivă cât și pentru cea activă. Detecția activă poate fi setată să închidă conexiunea de rețea sau să stopeze serviciile implicate. Acest lucru are avantajul că poate să analizeze rapid un eveniment și să ia măsuri de corecție în acest sens.

3.1 Componente și Arhitectura

3.1.1 Componente tipice

Majoritatea sistemelor IDPS pe bazate pe gazdă au instalate pe „gazdele” de interes software de detectare de tip agent. Fiecare agent monitorizează activitatea unei singure „gazde”si dacă abilitățile IDPS sunt activate, atunci agentul execută și acțiuni de prevenire. Agenții transmit date către serverele de management, care pot în mod opțional folosi pentru stocare servere de baze de date. Pentru management și monitorizare sunt folosite console.

Anumite produse IDPS pe bază de gazdă folosesc software dedicat aplicat pentru agent , ce înlocuiește opțiunea de a instala software de tip agent individual pe fiecare gazdă. Fiecare aplicație este poziționata pentru a monitoriza traficul ce vine și care se duce spre gazdă respectiva. Din punct de vedere tehnic aceste aplicații pot fi considerate IDPS-e pe bază de rețea, deoarece acestea sunt dispuse în linie pentru a monitoriza traficul din rețea. Totuși, acestea monitorizează în mod normal activitatea pentru un tip specific de aplicație, cum ar fi un server Web sau un server de baze de date, deci sunt mult mai specializate decât un IDPS pe bază de rețea standard. De asemenea, software-ul acestor aplicații de obicei are o funcționalitate similara cu cea a agenților pe bază de gazdă.

Fiecare agent este desemnat pentru a proteja următoarele:

Un server – Înafara de a monitoriza sistemul de operare al serverului, agentul poate monitoriza și anumite aplicații de baza.

Un client gazdă (desktop sau laptop) – Agenții desemnați pentru a monitoriza „gazdele” utilizatorilor de obicei monitorizează sistemul de operare și aplicațiile de bază ale clientului cum ar fi clienții de e-mail și browser-ele Web.

Un serviciu de aplicație – Unii agenți monitorizează anumite servicii de aplicații, cum ar fi un program de Web server sau un program de server de baze de date. Acest tip de agent este cunoscut sub numele de IDPS pe bază de aplicație.

Marea majoritate a produselor în domeniu nu au agenți pentru alte tipuri de „gazde” cum ar fi de exemplu dispozitivele de rețea (firewall-uri, routere, switch-uri).

3.1.2. Arhitecturi de rețea

Arhitectura de rețea pentru IDPS pe bază de gazdă este de obicei simplă, deoarece agenții sunt împărțiți pe „gazdele” existente în rețelele organizației, componentele comunica în cadrul acestor rețele în locul utilizării unei rețele de management separata. Mare parte din produse criptează aceasta comunicare, prevenind astfel accesul celor din cadrul rețelei la informații de tip sensibil. Agenții pe bază de aplicație sunt de obicei desfășurați în linie imediat în fata „gazdei” pe care o protejează.

3.1.3 Locațiile agenților

Agenții de tip IDPS pe bază de gazdă sunt utilizați în mod clasic în cazul stațiilor gazdă de tip critic, cum ar fi de exemplu serverele ce pot fi accesate de către publicul larg sau servere ce conțin informații sensibile. Totuși, deoarece agenții sunt disponibili pentru sisteme de operare de servere sau desktop-uri/laptop-uri variate, cât și pentru aplicații specifice de server, organizațiile ar putea atribui agenți pentru majoritatea serverelor și desktop-urilor sau laptop-urilor.

Unele organizații folosesc agenții IDPS pe bază de gazdă în primul rând pentru a analiza activitatea ce nu poate fi monitorizata prin intermediul altor controller-e de securitate. De exemplu, senzorii IDPS pe bază de rețea nu pot analiza activitatea intr-o rețea de comunicații criptată, dar agenții IDPS pe bază de gazdă instalați în terminalele rețelei pot vedea activitatea decriptata.

Organizațiile trebuie să tina cont de următoarele criterii când selectează locațiile agenților:

Costul de atribuire, mentenanță și monitorizare a agenților.

Sistemele de operare și aplicațiile suportate de agenți

Importanta datelor și serviciilor „gazdei”

Abilitatea infrastructurii de a suporta agenții (exemplu: lungime de banda suficienta pentru transferarea alertelor ce vin de la agenți la servere centralizate și pentru a transfera în același timp udate-uri de politici și software de la serverele centralizate la agenți)

3.1.4 Arhitecturi ale stațiilor gazdă

Pentru a avea capabilități de prevenție a intruziunilor, mare parte din agenții IDPS alterează arhitectura interna a stațiilor gazdă pe care aceștia sunt instalați. Acest lucru este realizat prin intermediul unui patch, ce reprezintă un layer de cod amplasat intre layer-ele de cod existente. Un patch interceptează datele la un punct în care în mod normal acestea ar fi trecute de la o bucata de cod la alta. Patch-ul poate astfel analiza datele și stabilește dacă acestea trebui accesate sau nu. Agenții IDPS pe bază de gazdă pot folosi patch-uri pentru diferite tipuri de surse, incluzând aici traficul din rețea, activitatea fișierelor de sistem, call-urile de sistem, activitatea regiștrilor din Windows și aplicațiile comune (e-mail, Web).

Unii agenți IDPS pe bază de stații gazdă nu alterează arhitectura interna a stațiilor gazdă pe care aceștia sunt instalați. Aceștia monitorizează activitatea fără patch-uri, sau analizează artefacte de activitate, cum ar fi log-uri și modificări de fișiere. Chiar dacă sunt mai puțin intruzivi pentru stație, reducându-se astfel posibilitatea ca IDPS-ul să se interfereze cu operațiunile normale ale stației, aceste metode sunt în același timp mai puțin eficiente pentru detectarea amenințărilor și de obicei nu au acțiuni de prevenire.

Una dintre deciziile importante în selectarea soluției de IDPS pe bază de gazdă este aceea fie de a folosi soluția care presupune instalarea agenților pe locațiile gazdă, sau de a folosi soluția built în cu aplicații bazate pe agenți. Din perspectiva detecției și prevenției, instalarea agenților pe locațiile gazdă este soluția preferata în mod general deoarece astfel agenții au acces direct la caracteristicile „gazdei”, deseori permițându-le agenților să realizeze o detecție și prevenție mai eficienta. Totuși, agenții se pot folosi numai pentru câteva sisteme de operare comune ; dacă o gazda nu folosește un sistem de operare agreat, poate fi folosita în schimb o aplicație bazată pe agent.

Un alt motiv pentru a folosi o aplicație bazată pe agent în locul instalării agentului pe locația gazdă este cel legat de performanta. Dacă un agent ar avea un impact negativ semnificativ asupra performantei „gazdei” monitorizate , atunci se va prefera înlocuirea agentului instalat în locația gazdă cu o aplicație bazată pe „agenți”.

3.1.5 Funcții de Securitate

Un IDPS pe bază de gazdă furnizează o varietate de funcții de securitate, ce sunt împărțite în 4 categorii:

Crearea de jurnale

Detecția

Prevenția

Altele

3.1.6 Funcția de creare de jurnale

IDPS pe bază de gazdă creează jurnale pentru datele relaționate cu evenimentele detectate. Aceste date pot fi folosite pentru a confirma valabilitatea alertelor, pentru a investiga incidentele și pentru a corela evenimentele dintre IDPS pe bază de gazdă și alte sisteme ce creează jurnale.

Câmpurile de date jurnalizate în mod normal de către IDPS pe bază de gazdă include:

Date temporale (data și ora)

Tipul de alerta sau eveniment

Rating-ul (prioritate, severitate, impact)

Detalii specifice în funcție de tipul evenimentului, cum ar fi adresa de IP și informații legate de port-uri, informații din aplicații, nume de fișiere și calea acestora și ID-ul utilizatorului.

Acțiunea de prevenție efectuata (dacă este cazul).

3.1.7 Funcția de detecție

IDPS pe bază de gazdă au funcția de a detecta mai multe tipuri de activități malițioase. Acesta folosește o combinație de tehnici de detecție pe bază de semnătura pentru a identifica atacurile cunoscute și tehnici de detecție speciale cu politici și seturi de reguli pentru a identifica atacuri necunoscute dinainte. Cele mai importante aspecte ale funcției de detecție sunt următoarele:

Tipuri de evenimente detectate

Acuratețea detecției

Upgradare și modificare

Limitări tehnologice

3.2.2.1 Tipuri de evenimente detectate

Tipurile de evenimente detectate în cazul IDPS pe bază de gazdă variaza considerabil în special datorita tehnicilor de detectie folosite. Unele produse IDPS pe bază de gazdă ofera multiple astfel de tehnici de detectie, în timp ce altele au la bază cateva sau chiar o singura astfel de tehnica. De exemplu , unele produse analizează traficul în rețea, iar altele verifica doar integritatea fisiserelor din locatia „gazda”.

Tehnicile specifice de detectie utilizate în IDPS pe bază de gazdă includ:

Analiza de Cod. Agenții pot folosi una sau mai multe

tehnici pentru identificarea activitatilor malitioase prin analizarea incercărilor de executare a codului. Toate aceste tehnici sunt de ajutor la stoparea mallware-ului și pot de asemenea să previna alte atacuri cum ar fi accesul neautorizat, executia de cod sau escalarea de privilegii.

Analiza comportamentului codului. Inainte ca un

cod să fie rulat în mod normal pe o locatie gazdă, acesta poate fi executat intr-un mediu virtual pentru a analiza comportamentul acestuia și a-l compara cu profilele și regulile unui comportament bun sau rau. De exemplu, cand o anumita bucata de cod este executata, prin aceasta se poate incerca obtinerea de privilegii de administrator sau poate să rescrie un executabil al sistemului.

Detectarea supraîncărcării buffer-ului. Incercările

de suprasolicitare a buffer-ului pot fi identificate prin recunoasterea caracteristicilor specifice ale acestor incercări, cum ar fi o anumita secventa de instructiuni și incercări de accesare a altor portiuni de memorie decat cele alocate procesului.

Monitorizarea interactiunilor din sistem. Agentul

stie ce aplicații și procese interactioneaza cu alte aplicații și procese pentru anumite actiuni. De exemplu, un agent poate recunoaste un proces ce incearca să intercepteze actionarile pe taste, ca un fel de log al tastelor actionate.Un alt exemplu este un agent care restrictioneaza încărcărea de obiecte la modelul COM (Component Object Model), permitand unei aplicații de tip PDA să acceseze adresa de e-mail a clientului, dar nu și altei aplicații de acest tip.”Agenții„ pot restricționa driverele ce se pot incărca, impiedicand astfel instalarea de kit-uri de programe ce pot fi folosite pentru atacuri.

Liste de aplicații și biblioteci. Un agent poate

monitoriza fiecare aplicatie și biblioteca (ex: DLL) pe care un proces sau un utilizator incearca să o incarce și compara aceasta informatie cu listele de aplicații și librarii autorizate și neautorizate. Aceasta functie poate fi folosita nu numai pentru a restricționa aplicațiile și bibliotecile ce pot fi folosite, dar și versiunile acestora ce pot fi folosite.

Analiza traficului în rețea. Aceasta functie este

similara cu functionalitatea IDPS pe bază de rețea. Anumite produse pot analiza atat traficul în retele cu fir, cât și pe cel din retelele wireless. Inafara de rețea, transport și analiza protocoalelor de aplicații, agenții pot efectua o procesare speciala a aplicațiilor curente, cum ar fi de exemplu e-mail-ul clientului. Analiza traficului permite agentului să extraga fisierele trimise de aplicații cum ar fi e-mailul, Web-ul, sharing-ul de fișiere peer-to-peer ce pot fi catalogate drept malware.

Filtrarea traficului în rețea. Agenții au inclus de

asemenea un sistem de firewall ce poate restricționa traficul pentru fiecare aplicatie din sistem, prevenind astfel accesul neautorizat cât și violarea politicilor organizatiei. Unele dintre aceste firewall-uri pot genera și folosi o lista de „gazde” cu care gazdă respectiva trebuie să comunice în interiorul organizatiei.

Monitorizarea fișierelor de sistem. Monitorizarea

fișierelor de sistem se poate realiza prin intermediul mai multor tehnici diferite, inclusiv prin cele enumerate mai jos. Administratorii trebuie să aibă în vedere ca anumite produse pot influenta monitorizarea prin schimbarea numelor fișierelor. Deci în cazul unui atac ce schimba numele fișierelor, aceste tehnici pot deveni ineficiente.

Verificarea integritatii fisiserelor. Aceasta verificare presupune verificarea prin metode criptografice a starii fișierelor critice în mod periodic și compararea valorilor obtinute cu cele de referinta. Verificare integritatii fisiserelor poate determina numai dacă s-a realizat vreo schimbare în trecut, cum ar fi de exemplu inlocuirea unui fisier binar cu un „cal troian”.

Verificarea atributelor fișierelor. Reprezinta verificarea periodica a atributelor fișierelor importante, cum ar fi ownership-ul și privilegiile, pentru a depista eventuale schimbari. Ca și în cazul verificarii integritatii fisiserelor , acest lucru se poate observa numai dupa ce schimbarea a avut loc.

Incercări de acces la fișiere. Un agent prin intermediul patch-ului poate monitoriza toate incercările de acces asupra fișierelor critice și poate stopa incercările suspecte. agentul are o serie de politici legate de accesul la fișiere, astfel încât agentul compara aceste politici cu caracteristicile încărcărilor de accesare curente, incluzând informații cu privire la ce utilizator și ce aplicație încearcă să acceseze fișierul respectiv, cât și ce fel de acces a fost cerut.

Analiza Log-urilor. Unii agenți pot monitoriza și analiza log-urile sistemului de operare și a aplicațiilor din sistem pentru a identifica o activitate malițioasa. Aceste log-uri conțin informații privind evenimentele din sistem, ce reprezintă acțiuni operaționale realizate de componentele sistemului de operare.

Monitorizarea configurării rețelei. Unii agenți pot monitoriza configurările de rețea ale unei „gazde” și pot detecta schimbări ale acestora. în mod normal toate interfețele cu rețeaua ale „gazdei” sunt monitorizate, incluzând conexiunile cu fir, wireless sau prin VPN (Virtual Private Network). Exemple de schimbări semnificative ale configurației de rețea sunt: schimbarea mode-ului interfeței cu rețeaua, folosirea adiționala de port-uri TCP sau UDP sau folosirea de protocoale de rețea adiționale.

3.2.2.2 Acuratețea detecției

Ca și în cazul oricărui IDPS pe bază de gazdă poate cauza destul de des falsuri pozitive și falsuri negative. Totuși, acuratețea detecției este mult mai complexa în cazul IDPS pe bază de gazdă datorita multitudinii de tehnici de detecție, cum ar fi analiza log-urilor sau monitorizarea fișierelor de sistem, ce nu prezintă contextul în care evenimentul respectiv a avut loc. De exemplu, o gazdă poate fi repornita, o aplicație noua poate fi instalata sau un fișier de sistem poate fi înlocuit. Aceste acțiuni pot fi de origine malițioasa , sau pot reprezenta o operațiune clasica de operare și mentenanță.

Evenimentele în sine sunt detectate cu acuratețe, dar natura acestora nu poate fi identificata cu acuratețe în toate cazurile fără a avea informații despre contextul în care s-au produs. Anumite produse au funcția de a „cere” utilizatorului informații privind contextul în care un eveniment are loc, iar în cazul în care nici un răspuns nu este primit de la acesta o acțiune setata ca „Default” va avea loc.

IDPS pe bază de gazdă ce folosesc mai multe tehnici combinate ar trebui să obțină rezultate cât mai exacte în urma detecției. Deoarece fiecare tehnica poate monitoriza aspecte diferite ale detecției, folosirea mai multor tehnici permite agenților să culeagă mai multe informații despre evenimentele din sistem.

IDPS bazate pe gazdă de obicei au cerinte considerabile de imbunatatire și adaptare. De exemplu, unele au cerinte legate de definirea profilului comportamentului asteptat, altele trebuie configurate conform politicilor detaliate ce definesc exact modul în care aplicația sau utilizatorul trebuie să se comporte.

Pe masura ce mediul sistemului se schimba, administratorii trebuie să se asigure ca politicile din IDPS pe bază de gazdă  sunt actualizate pentru a tine cont de schimbarile aparute.

Unele produse permit ca pentru o gazdă să fie configurate politici multiple pentru medii multiple.Aceasta functie este utilă pentru „gazde” ce utilizeaza mai multe medii diferite, cum ar fi de exemplu un laptop ce este utilizat atât din interiorul companiei cât și din exteriorul acesteia.

3.2.2.3 Limitarile tehnologice

IDPS pe bază de gazdă prezinta limitări semnificative. Limitarile importante sunt:

Intarzierea generarii de alerte. Chiar dacă agenții genereaza alerte în timp real de obicei pentru majoritatea tehnicilor de detectie, anumite tehnici sunt utilizate periodic pentru a identifica evenimente ce s-au produs deja. în functie de perioada la care acestea sunt aplicate, intarzierile alertelor pot fi masurate.

Intarzierea raportarilor centralizate. Multe sisteme IDPS pe bază de gazdă trimit datele legate de alerte cate serverele de management la o anumita perioada și nu în timp real.De obicei alertele sunt trimise catre server la un interval de 15 pana la 60 de minute pentru a nu incărca traficul de informatii în rețea.

Utilizarea resurselor „gazdei”.Spre deosebire de alte tehnologii IDPS, IDPS pe bază de gazdă presupune instalarea agenților pe locatiile gazdă. Acesti agenți pot consuma resurse considerabile de la gazdă, incluzand memorie, procesor și capacitatea discului de stoicare.Operatiunile agenților pot incetini activitatile „gazdei” în rețea.

Conflicte cu Controller-ele de securitate deja existente. Instalarea unui agent pe o gazda poate duce la dezactivarea automata a controller-elor de securitate ale acesteia, cum ar fi un anumit firewall.

4. Honeypot

Sistemele de tip "Honeypot" reprezintă capcane pregătite să detecteze, să respingă sau să contracareze intr-o anumita măsura încercările de utilizare neautorizata a sistemelor de calcul. Aceste sisteme pot aduce riscuri în cadrul unei rețele, și trebuie administrate cu atenție. Dacă nu sunt protejate în mod adecvat, un atacator le poate folosi pentru a accesa resursele rețelei. Are natura unei “ capcane” și de cele mai multe ori consta intr-o resursa informatica (document, bază de date, serviciu de rețea, server etc.) Aceasta resursa este doar în aparenta parte a sistemului, ea fiind izolata și protejata.

Un sistem "Honeypot" este alcătuit dintr-un sistem de calcul individual, o colecție de date sau un segment de rețea izolat care pare să facă parte dintr-o rețea legitima, neprotejat și fără monitorizare, și care pare să conțină date sau resurse valoroase pentru potențialii atacatori. Un sistem "Honeypot" care este mascat sub forma unui sistem "Proxy" fără protecție, poarta denumirea de "sugarcane" (acadea).

Sistemul "Honeypot" nu trebuie poziționat pe un segment de producție din cadrul rețelei interne al organizației, și nu trebuie să "vadă" trafic sau activități legitime. Tot ceea ce sistemul "Honeypot" interceptează poate fi clasificat ca malițios sau neautorizat. O aplicație practica în care poate fi folosit sistemul "Honeypot" este de mascare intr-un sistem de tipul celor abuzate de SPAM-eri putând identifica cu o corectitudine de 100% datele infectate cu SPAM. Sistemul "Honeypot" nu necesita capabilități de recunoaștere a SPAM-ului, și nici un filtru de separare a mesajelor obișnuite de cele de tip SPAM. Mesajele normale de posta electronică nu vor ajunge niciodată intr-un sistem "Honeypot".

4.1 Amplasamentul sistemelor "Honeypot"

In funcție de locul în care sunt plasate, sistemele "Honeypot" se clasifica in:

sisteme de producție (production honeypots);

sisteme de cercetare (research honeypots).

Sistemele "Honeypot" de producție sunt ușor de administrat, capturează numai o cantitate limitata de informații, și sunt folosite în principal de companii și corporații. Aceste sisteme sunt plasate în interiorul rețelei de producție pentru a putea îmbunătăți starea generala de securitate. în mod normal sistemele "Honeypot" de producție sunt ușor de întreținut deoarece nu necesita prea mult timp de interacțiune umana. Acest tip de sisteme furnizează mai puține informații despre atacuri sau atacatori decât sistemele "Honeypot" de cercetare. Scopul acestor sisteme este de a ajuta la reducerea riscurilor de securitate în interiorul unei companii, adăugând valoare masurilor de securitate deja implementate.

Sistemele "Honeypot" de cercetare sunt rulate de organizații de cercetare bazate pe voluntariat și non-profit sau instituții educaționale pentru colectarea de informații legate de motivele și tacticile pe care comunitatea de "Blackhat" le aplica în cadrul rețelelor. Aceste sisteme nu adăuga valoare în mod direct unei anumite organizații. în schimb sunt folosite pentru a cerceta amenințările la care sunt supuse organizațiile, și pentru a învață cum anume trebuie să se protejeze de atacuri. Ar trebui privite ca o sursa de "contra-informații", principalul scop fiind să strângă informații despre atacatori. Aceste informații sunt apoi folosite pentru a proteja rețeaua împotriva respectivelor amenințări. Sistemele "Honeypot" de cercetare sunt complexe din punct de vedere al implementării și al mentenanței, capturând cantități mari de date.

Avantajele utilizării honeypot-urilor sunt ca ele colectează informații doar atunci când o persoana sau o aplicație interacționează cu acestea, sunt generate mai puține date, putând fi mai ușor de analizat. Reducerea numărului de alarme false este un alt avantaj, deoarece honeypot-ul interacționează doar cu activitățile neautorizate (încercările de atac).

Dezavantaje ale utilizării honeypot-urilor ar putea fi faptul ca induc un factor de risc în cadrul sistemului, deoarece sunt expuse potențialelor atacuri și posibilitatea de a fi ușor detectate, deoarece au un comportament constant.

4.2 Clasificarea honeypot-urilor:

După gradul de activitate care este permisa cu atacatorul:

honeypot-uri cu interacțiune scăzuta, care emulează servicii de rețea sau componente ale unui sistem de operare (ușor de instalat, mai sigure, dar colectează mai puține informații)

honeypot-uri cu interacțiune sporita, care simulează toate aspectele unui sistem de operare (pot fi integral compromise, permițând efectuarea altor atacuri; colectează cantități mari de informații);

După modul de conectare la Internet

honeypot-uri fizice, care constau intr-o mașina conectata la rețea, având propria adresa IP

honeypot-uri virtuale, care sunt simulate de o singura mașina, care răspunde la traficul efectuat către ele

5. Instalarea și configurarea unui sistem HIDS

Pentru instalare s-a folosit o mașină virtuala VMWARE compusa din două hard-disk-uri și o placa de rețea „Bridget” cu cea instalata fizic. Pe primul disk s-a efectuat o instalare noua de Windows XP SP2. Discurile sunt formatate cu sistemul de fișiere NTFS. Prima partiție este alocata în întregime sistemului de operare iar cea de-a două partiție este alocata software-ului pentru IDS. După instalarea sistemului de operare s-au dezinstalat componente Windows ce nu sunt necesare. Au fost închise câteva servicii ne utile dar care pornesc automat. Windows Firewall dezactivat. Placa de rețea configurata în mod DHCP.

Pentru adresa în interfața web s-a modificat fișierul hosts din directorul „C:\Windows\system32\drivers\etc„ , cu 127.0.0.1 windis

5.1 Platforma folosita

Există mai multe pachete de software, care produc această topologie. Am mers pe platforma Microsoft pentru o mai mare ușurința în instalare și configurarea software-ului.

IIS Web Server: serverul de web Microsoft care găzduiește consola BASE

Snort: sistem de detectare a intruziunii, capabil de captura în timp real a traficului de pe rețea și stocarea capturilor în fișiere .log

WinPcap: WinPcap este un tool pt. accesul intr-o rețea în forma link-layer sub Windows. Permite aplicațiilor să capteze și să transmită pachete pe rețea trecând de protocolul stack. în plus include pachete de filtrare kernel precum și un motor cu suport pt. captarea pachetelor la distanta. Acesta este constituit dintr-un driver care extinde sistemul de operare pentru a permite accesul de nivel scăzut intr-o rețea și o librărie care este folosita pentru accesul în straturile de nivel scăzut al unei rețele. Aceasta librărie conține versiunea de Windows al nivelului cunoscut sub numele de libpcap UNIX API.

MySQL server: MySQL este un server de baze de date bazate pe SQL pentru o varietate de platforme și este cea mai susținută platformă pentru stocarea alertelor din Snort. Toate alertele declanșate de la senzori sunt stocate în bază de date MySQL.

ADODB: Biblioteca pentru obiecte PHP

PHP: limbaj de scripting pentru dezvoltare web și poate fi încapsulat în HTML.

BASE (Basic Analysis and Security Engine): BASE este o aplicație cu interfața web pentru vizualizarea alertelor IDS din Snort. Aici toate informațiile senzorilor sunt vizualizate și prelucrate.

5.2 Instalare

Toate programele se instalează pe a două partiție. Primul instalat este WinPcap, program disponibil gratuit. Următorul program este Snort care se instalează în d:\win-ids\snort. în directorul Bin se găsește un fișier numit snort.conf. Acest fișier trebuie editat pentru a reflecta cel mai bine configurația viitorului IDS. în prima faza se stabilesc variabilele de lucru ale programului Snort. Se stabilește rețeaua interna cât și cea externa de unde provin atacurile. Pentru testare am folosit clasa C de IP-uri 192.168.1.0./24:

var HOME_NET 192.168.1.0/24

var EXTERNAL_NET! $ HOME_NET

Trebuie de asemenea schimbata calea unde Snort caută fișierele ce conțin Reguli de scanare și de identificare a traficului. Fiind o aplicație scrisa pentru sistemele Linux, Snort are definite în fișierul de configurare căile către directoarele unde s-ar fi instalat standard. După modificarea tuturor cailor de acces către fișierele de configurare, fișierele .log și fișierele ce conțin reguli, se testează Snort prin identificarea plăcilor de rețea instalate.

Acest lucru se face folosind comanda Snort –W. Răspunsul este de forma:

Pentru testarea funcționalității, în command prompt tastam Snort –v -2 unde parametrul –v va rula Snort în modul „Verbose” iar –i2 va comuta Snort pentru traficul de pe Interfața de rețea Numărul 2. Aceasta interfața a fost detectata mai cu cu Snort –W. Dacă Snort funcționează, acesta va fi afișa pe ecran capturi ale pachetelor de date prin simpla deschidere a unei pagini web.

Imaginea 4 –Identificarea plăcilor de rețea

5.3 Instalarea Internet Information Services (IIS)

Pentru instalarea IIS în alta parte decât locația standard, vom folosi un fișier de răspunsuri. în acest fișier de răspunsuri specificam faptul ca viitorul director web se va afla pe partiția D:, și ca nu dorim instalarea serviciilor SNMP și NNTP.

[Components]

iis_common = on

iis_inetmgr = on

iis_www = on

iis_smtp = off

iis_nntp = off

[InternetServer]

PathWWWRoot="D:\win-ids\InetPub\wwwroot"

5.4 Rularea utilitarului IISLockdown

IISLockdown este un utilitar dezvoltat de către Microsoft care închide serviciile ce nu sunt necesare în IIS. Acest lucru reduce numărul de posibile atacuri.

5.5 Instalarea și configurarea PHP pentru IIS

Pentru configurarea PHP se folosește fișierul php.ini-dist. La fel ca și în cazul Snort, este necesara schimbarea unor linii din fișierul de configurare:

max_execution_time = 60

Schimbare: display_errors = Dezactivat

include_path = "d:\win-ids\php\pear"

extension_dir = "d:\win-ids\php\ext"

cgi.force_redirect = 0

extension=php_gd2.dll

extension=php_mysql.dll

session.save_path = "c:\windows\temp"

5.6 Configurare IIS pentru PHP

în Control Panel, "Administrative Tools", Internet Information Services " la Default Web Site", se adaugă extensia .PHP cu fișierul executabil din" D: \win-ids\php\php-cgi . exe ". După aceasta setare, IIS va deschide paginile web ce au extensia PHP. Pentru testare se copiază pagina test.php în rădăcina directorului wwwroot. în internet Explorer se accesează aceasta pagina, care va afișa setările modului PHP.

5.7 Configurarea Snort să ruleze ca un serviciu

In Command Prompt ne mutam în directorul d:\win-ids\snort\bin. Se tastează comanda "Snort / SERVICE / INSTALL –c D: \ win-ids\Snort\etc\snort.conf –l d: \ win-ids\ Snort\log -K ASCII -i2".

Prin aceasta comanda Snort se va instala ca un serviciu și se va regăsi în lista de servicii din Administrative Tools. Parametrul „–c” spune programului unde își găsește fișierul de configurare. Parametrul „-l” specifica directorul unde va salva log-urile. Parametrul „-K” reprezintă formatul în care acesta le va salva (ASCII). „-i” reprezintă parametrul pentru Snort care precizează care dintre plăcile de rețea să fie folosite pentru captura de trafic.

Se verifica instalarea Snort ca și serviciu în utilitarul „Services” și se comuta Snort pe pornire Automata, odată cu sistemul de operare.

Imaginea 5 –Verificarea Serviciului Snort

5.8 Instalare și configurare MySQL

Crearea de baze de date Snort in command prompt se tastează "mysql-u root”. La promptul mysql se tastează "drop database test;" apoi 'create database Snort;’. După crearea bazei de date pentru Snort, se creează bază de date unde va fi ținuta arhiva: „ create database archive;”

Pentru popularea bazei de date cu tabel se folosește scriptul ce este furnizat cu Snort. La promptul mysql se tastează "source d: \win-ids\Snort\scheme\create_mysql" . Se va afișa 22 'Query OK, 0 rânduri afectate (0.00 sec). Pentru verificare se tastează „ show tables;” Notă: Se va afișa pentru „Tables_in_Snort", ca" 16 rânduri în set (0.02 sec) "și a reveni la mysql prompt.

In promptul mysql se tastează "connect archive;"

Pentru crearea bazei de date de arhivare se tastează "source d:\win-ids\Snort\scheme\create_mysql". Se va afișa din nou 22 'Query OK, 0 rânduri afectate (0.00 sec).

Crearea bazei de date de acces și Autentificarea Utilizatorilor se face prin "set password root @ localhost = password (" d1ngd0ng ');

La promptul mysql se introduc pe rând următoarele comenzi”

'grant INSERT,SELECT,UPDATE on Snort.* to Snort identified by 'l0gg3r';

'grant INSERT,SELECT,UPDATE on Snort.* to Snort@localhost identified by 'l0gg3r'

'grant INSERT,SELECT,UPDATE,DELETE,CREATE on Snort.* to base identified by 'an@l1st';

'grant INSERT,SELECT,UPDATE,DELETE,CREATE on Snort.* to base@localhost identified by 'an@l1st';'

grant INSERT,SELECT,UPDATE,DELETE,CREATE on archive.* to base identified by 'an@l1st';'

grant INSERT,SELECT,UPDATE,DELETE,CREATE on archive.* to base@localhost identified by 'an@l1st';'

Se merge apoi la "D:\win-ids\mysql'si se editează fișierul my.ini cu sql-mode ="NO_AUTO_CREATE_USER, NO_ENGINE_SUBSTITUTION"

După repornirea sistemului se verifica dacă Snort a fost pornit ca serviciu și dacă nu sunt erori. Prin deschiderea unei pagini la adresa http://winids/base se va afișa consola de administrare base.

Imaginea 6 – Captura Ecran BASE

5.9 Crearea de reguli noi pentru Snort

Formatul standard al unei reguli pentru Snort este de forma:

action protocol src_ip src_port direction dst_ip dst_port (opțiuni regula)

Pentru a genera alerte, s-a creat o regula (test.rule) pentru ca Snort să capteze tot traficul de pe rețea chiar dacă acesta nu reprezintă o amenințare.

alert ip any any -> any any (msg:"Got an IP Packet"; classtype:not-suspicious; sid:2000000; rev:1;)

alert icmp any any -> any any (msg:"Got an ICMP Packet"; classtype:not-suspicious; sid:2000001; rev:1;)

alert icmp any any -> any any (msg:"ICMP Large ICMP Packet"; dsize:>800; reference:arachnids,246; classtype:bad-unknown; sid:2000499; rev:4;)

6. Concluzii

Există mai multe tehnologii de protecție pe piață care pot ajuta companiile în lupta cu atacurile de pe rețea. Cel mai important aspect al securității este apărarea infrastructurii și comunicațiilor în adâncime. Aceste dispozitive pot monitoriza și analiza evenimentele care au loc pe o rețea sau într-un sistem, căutând intruziunile și depistând atacurile pe bază de semnături sau modele. IDS necesită o prelucrare amănunțita a setărilor inițiale și adaptarea acestuia la necesitățile rețelei. IPS poate oferi mai multe alerte exacte. IPS utilizează mai multe metode de detectare. Dacă acesta generează o alerta falsa, poate suspenda o conexiune ce nu trebuia suspendata. IPS poate identifica o intruziune care a avut loc și este în măsură să ofere adresa de IP al intrusului.

Instalarea unui sistem IDS este la indemna oricui. Se găsesc distribuții gratuite pentru fiecare dintre componentele software ale acestuia și pentru diferite platforme. Pentru UNIX se poate descărca softul Easy IDS care vine în format ISO pe platforma CentOS 4.5. Acesta se instalează și se configurează automat. Este un produs gratuit out of the box.

A avea instalat un senzor IDS duce la detectarea multor atacuri din interiorul rețelei, atacuri de care nu se bănuia nimic înainte. De asemenea se pot depista utilizatorii ce doresc să acceseze mai multe informații decât permisiunile de care dispun. Folosirea de Proxy-uri „virtuale” instalate pe calculatoarele utilizatorilor cu scopul de a trece nedetectați prin mascarea traficului în sesiuni SSH.

Folosirea soluției „Snort” ca și software de captura al pachetelor pe rețea este foarte comuna în majoritatea sistemelor IDS. Acesta poate fi ajustat exact după nevoile fiecare rețea sau subrețea. Rapoartele generate cu BASE sunt foarte amănunțite și detaliate. Ele oferă informații legate de Sursa evenimentului, adresa de destinație, Sursa/destinație, alerte unice, evenimente de scanare de porturi, opțiuni de lookup (whois) in: ARIN | RIPE | APNIC | LACNIC, DNS extern etc.

Anexa 1 – Acronime

Bibliografie

Bibliografie