1 / 22

Intrusion Detection System (IDS)

Teemu Kokkinen Kevät 2007. Intrusion Detection System (IDS). Esityksen Sisältö. IDS-järjestelmät palveluna Snort ja sen toiminta Snortin asennus ja konfigurointi Lisäohjelmat Ylläpito Vaihtoehto Johtopäätökset ja tiivistelmä. IDS-järjestelmät palveluna.

zalman
Download Presentation

Intrusion Detection System (IDS)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Teemu Kokkinen Kevät 2007 Intrusion Detection System (IDS)

  2. Esityksen Sisältö • IDS-järjestelmät palveluna • Snort ja sen toiminta • Snortin asennus ja konfigurointi • Lisäohjelmat • Ylläpito • Vaihtoehto • Johtopäätökset ja tiivistelmä

  3. IDS-järjestelmät palveluna • Parantavat tietoturvaa: - Automatisoivat verkon tarkkailua - Kuuntelevat verkossa kulkevia paketteja ja tutkivat näitä - Normaalisti eivät kuormita verkkoa paljon

  4. IDS-järjestelmät palveluna • IDS-järjestelmät voidaan jakaa kolmeen eri tyyppiin: - Network-based IDS - Host-based IDS - Application-based IDS

  5. IDS-järjestelmät palveluna • Hyökkäysten analysointi perustuu ennalta tunnettuihin sääntöihin • Uhkien havaittaessa IDS-järjestelmä voi reagoida aktiivisesti ja/tai passiivisesti sille annettujen ohjeiden mukaan

  6. Snort ja sen toiminta • Snort ohjelmana: - Ilmainen opensource-ohjelma - Toimii monilla käyttöjärjestelmillä - Tekijät päivittävät usein - Niittänyt mainetta jo vuosia

  7. Snort ja sen toiminta • Snortin toiminta jakautuu neljään osaan: - Haistelija ja dekooderi - Datan siistimiseen käytettävä prosessori - Uhkien tunnistamiseen oma tunnistusmoottorinsa - Viimeisenä uhkista ilmoittaminen ja lokitiedoston kirjanpito

  8. Snort ja sen toiminta

  9. Snortin asennus ja konfigurointi • Asennetaan Snort 2.6.0 Debian Linuxille • Vaatimuksena asennukselle - libcap-kirjasto • Toteutuksen kannalta myös hyvä olla - MySQL-tietokanta ja PHP

  10. Snortin asennus ja konfigurointi • Helpoin tapa asentaa Snort on aptituden oman käyttöliittymän avulla • Toinen tapa on suoraan komentoriviltä hakea se verkosta wget-komennolla osoitteesta: http://www.snort.org/dl/old/snort-2.6.0.tar.gz • Snortin asentamisen yhteydessä on muistettava linkittää sen tiedostoja yhteen tietokannan kanssa komennolla # ./configure --with-mysql --enable-dynamicplugin

  11. Snortin asennus ja konfigurointi • Snortille on myös hyvä tehdä oma käyttäjäryhmä sekä omat kansiot lokitiedostoille • Ohjelmalle haetaan erikseen omat sääntönsä netin kautta. Ilman rekisteröitymistä ne löytää osoitteesta: http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

  12. Snortin asennus ja konfigurointi • Säännöt puretaan yhteen kaikkien Snortin mukana tulleiden *.conf- ja *.map-tiedostojen kanssa. • Sen jälkeen määritellään pääkonfiguraatiotiedostoon snort.conf kotiverkko (dmz-verkko), ulkopuolinen verkko ja kansiopolku missä säännöt löytyvät.

  13. Snortin asennus ja konfigurointi • Snortin käynnistyskomento: # /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf • Sitten tietokannan konfigurointi Snortin kanssa • Asennetaan salasana ja avataan MySQL-terminaali • Snortille tehdään oma tietokanta, annetaan oikeudet ja asetaan tietokannalle salasana.

  14. Snortin asennus ja konfigurointi • Taulut tehdään Snortin mukana tulevien omien mallien pohjalta: # cd /usr/local/src/snort-2.6.0/schemas/ # mysql -u root -p < create_mysql snort • snort.conf-tiedostosta otetaan pois kommenteista MySQL-tietokantaa koskeva rivi.

  15. Lisäohjelmat • Basic Analysis and Security Engine (BASE) • Oinkmaster • Barnyard

  16. Lisäohjelmat • Barnyard löytyy myös netistä: http://www.snort.org/dl/barnyard/barnyard-0.2.0.tar.gz • Barnyard myös linkitetään MySQL-tiedostoihin komennolla: # ./configure --enable-mysql • Snortin tietokantakäyttö otetaan pois päältä tiedostosta snort.conf ja rivit jotka alkavat output alert_unified ja output log_unified otetaan pois kommenteista.

  17. Lisäohjelmat • Barnyardin omaan konfiguraatiotiedostoon barnyard.conf kirjoitetaan: - oman koneen - verkkolaitteen nimi - kommentoidaan kaikki output sanalla alkavat kohdat paitsi output log_acid_db niminen kohta joka jätetään päälle.

  18. Lisäohjelmat • Barnyard käyttää apuna Snortin lokeja. Luodaan tiedosto bylog.waldo johon tulee Snortin lokin polku, lokin tiedostonimi ja annetaan oletusaikaleima. • Barnyardin käynnistyskomento: # /usr/local/bin/barnyard -c /etc/snort/barnyard.conf -g /etc/snort/gen-msg.map -s /etc/snort/sid-msg-map -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo &

  19. Ylläpito • Snortin tietokannan katselu: # mysql -u -root -p mysql> use snort; mysql> show tables; tai sitten vain # mysql -uroot -pmypassword -D snort -e "select count(*) from event"

  20. Ylläpito • Käynnistys-skripti on kätevä tapa käynnistää Snort aina koneen alotuksessa. - Skriptia varten tehdään oma tiedosto ja sinne tulevat Snortin (sekä myös Barnyardin) käynnistyskomennot - Lopuksi siitä tehdään suoritettava tiedosto ja linkitetään yhteen tarvittavien kansioiden kanssa # chmod +x /etc/init.d/snort-barn # update-rc.d snort-barn defaults 95

  21. Vaihtoehto • Cisco Security Agent - Toimii monilla käyttöjärjestelmillä - Kaupallinen - Laaja tietoturvapaketti

  22. Johtopäätökset ja tiivistelmä • IDS-järjestelmät on kohtuullinen parannus verkkojen tietoturvaan ja tukevat muita tietoturvaa parantavia sovelluksia kuten palomuuri ja virustorjunta • Suurin osa IDS-systeemeista verkkopohjasia, joita löytyy ilmaisina ja kaupallisina • Ohjelman säännöstöä on ylläpidettävä jotta järjestelmä säilyisi hyödyllisenä • Taitavat hakkerit voivat silti huijata IDS-järjestelmiä

More Related