Deep Learning Approach for Intrusion Detection System (IDS ...
Intrusion Detection System (IDS)
description
Transcript of Intrusion Detection System (IDS)
Intrusion Detection System (IDS)
Teemu KokkinenKevät 2007
Esityksen Sisältö
● IDS-järjestelmät palveluna● Snort ja sen toiminta● Snortin asennus ja konfigurointi● Lisäohjelmat● Ylläpito● Vaihtoehto● Johtopäätökset ja tiivistelmä
IDS-järjestelmät palveluna
● Parantavat tietoturvaa: - Automatisoivat verkon tarkkailua - Kuuntelevat verkossa kulkevia paketteja ja tutkivat näitä - Normaalisti eivät kuormita verkkoa paljon
IDS-järjestelmät palveluna
● IDS-järjestelmät voidaan jakaa kolmeen eri tyyppiin:
- Network-based IDS - Host-based IDS - Application-based IDS
IDS-järjestelmät palveluna
● Hyökkäysten analysointi perustuu ennalta tunnettuihin sääntöihin
● Uhkien havaittaessa IDS-järjestelmä voi reagoida aktiivisesti ja/tai passiivisesti sille annettujen ohjeiden mukaan
Snort ja sen toiminta
● Snort ohjelmana: - Ilmainen opensource-ohjelma - Toimii monilla käyttöjärjestelmillä - Tekijät päivittävät usein - Niittänyt mainetta jo vuosia
Snort ja sen toiminta
● Snortin toiminta jakautuu neljään osaan: - Haistelija ja dekooderi - Datan siistimiseen käytettävä prosessori - Uhkien tunnistamiseen oma tunnistusmoottorinsa - Viimeisenä uhkista ilmoittaminen ja lokitiedoston kirjanpito
Snort ja sen toiminta
Snortin asennus ja konfigurointi
● Asennetaan Snort 2.6.0 Debian Linuxille
● Vaatimuksena asennukselle - libcap-kirjasto
● Toteutuksen kannalta myös hyvä olla - MySQL-tietokanta ja PHP
Snortin asennus ja konfigurointi
● Helpoin tapa asentaa Snort on aptituden oman käyttöliittymän avulla
● Toinen tapa on suoraan komentoriviltä hakea se verkosta wget-komennolla
osoitteesta: http://www.snort.org/dl/old/snort-2.6.0.tar.gz● Snortin asentamisen yhteydessä on
muistettava linkittää sen tiedostoja yhteen tietokannan kanssa komennolla
# ./configure --with-mysql --enable-dynamicplugin
Snortin asennus ja konfigurointi
● Snortille on myös hyvä tehdä oma käyttäjäryhmä sekä omat kansiot lokitiedostoille
● Ohjelmalle haetaan erikseen omat sääntönsä netin kautta. Ilman rekisteröitymistä ne löytää osoitteesta:
http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
Snortin asennus ja konfigurointi
● Säännöt puretaan yhteen kaikkien Snortin mukana tulleiden *.conf- ja *.map-tiedostojen kanssa.
● Sen jälkeen määritellään pääkonfiguraatiotiedostoon snort.conf kotiverkko (dmz-verkko), ulkopuolinen verkko ja kansiopolku missä säännöt löytyvät.
Snortin asennus ja konfigurointi
● Snortin käynnistyskomento:# /usr/local/bin/snort -Dq -u snort -g snort -
c /etc/snort/snort.conf● Sitten tietokannan konfigurointi Snortin
kanssa● Asennetaan salasana ja avataan MySQL-
terminaali● Snortille tehdään oma tietokanta, annetaan
oikeudet ja asetaan tietokannalle salasana.
Snortin asennus ja konfigurointi
● Taulut tehdään Snortin mukana tulevien omien mallien pohjalta:
# cd /usr/local/src/snort-2.6.0/schemas/# mysql -u root -p < create_mysql snort● snort.conf-tiedostosta otetaan pois
kommenteista MySQL-tietokantaa koskeva rivi.
Lisäohjelmat
● Basic Analysis and Security Engine (BASE)● Oinkmaster● Barnyard
Lisäohjelmat● Barnyard löytyy myös netistä:http://www.snort.org/dl/barnyard/barnyard-
0.2.0.tar.gz● Barnyard myös linkitetään MySQL-
tiedostoihin komennolla:# ./configure --enable-mysql● Snortin tietokantakäyttö otetaan pois päältä
tiedostosta snort.conf ja rivit jotka alkavat output alert_unified ja output log_unified
otetaan pois kommenteista.
Lisäohjelmat● Barnyardin omaan konfiguraatiotiedostoonbarnyard.conf kirjoitetaan: - oman koneen - verkkolaitteen nimi - kommentoidaan kaikki output sanalla alkavat kohdat paitsi output log_acid_db niminen kohta joka jätetään päälle.
Lisäohjelmat● Barnyard käyttää apuna Snortin lokeja.
Luodaan tiedosto bylog.waldo johon tulee Snortin lokin polku, lokin tiedostonimi ja annetaan oletusaikaleima.
● Barnyardin käynnistyskomento:# /usr/local/bin/barnyard -c
/etc/snort/barnyard.conf -g /etc/snort/gen-msg.map -s /etc/snort/sid-msg-map -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo &
Ylläpito
● Snortin tietokannan katselu:# mysql -u -root -p
mysql> use snort;mysql> show tables;
tai sitten vain
# mysql -uroot -pmypassword -D snort -e "select count(*) from event"
Ylläpito● Käynnistys-skripti on kätevä tapa
käynnistää Snort aina koneen alotuksessa. - Skriptia varten tehdään oma tiedosto ja sinne tulevat Snortin (sekä myös Barnyardin) käynnistyskomennot
- Lopuksi siitä tehdään suoritettava tiedosto ja linkitetään yhteen tarvittavien
kansioiden kanssa # chmod +x /etc/init.d/snort-barn# update-rc.d snort-barn defaults 95
Vaihtoehto
● Cisco Security Agent - Toimii monilla käyttöjärjestelmillä - Kaupallinen - Laaja tietoturvapaketti
Johtopäätökset ja tiivistelmä
● IDS-järjestelmät on kohtuullinen parannus verkkojen tietoturvaan ja tukevat muita tietoturvaa parantavia sovelluksia kuten palomuuri ja virustorjunta
● Suurin osa IDS-systeemeista verkkopohjasia, joita löytyy ilmaisina ja kaupallisina
● Ohjelman säännöstöä on ylläpidettävä jotta järjestelmä säilyisi hyödyllisenä
● Taitavat hakkerit voivat silti huijata IDS-järjestelmiä