Phát hiện sự xâm nhập Mạng


Một loại công cụ hàng đầu trong bảo mật mạng trong những năm gần đây là các hệ thống phát triển sự xâm nhập mạng (NIDS). Những hệ thống này có thể được triển khai trên mạng và giám sát cho đền khi chúng phát hiện ra hành vi đáng nghi ngờ, khi chúng bắt đầu hành động và báo cáo cho bạn biết về những gì đang xảy ra. Chúng là những công cụ tuyệt vời để sử dụng ngoài các log của bạn, vì một IDS mạng thường có thể nhận ra cuộc tấn công trước khi nó tiến đến đích được chỉ định hoặc có cơ hội kết thúc trong các log của bạn.

Hiện có 2 loại NIDS. Loại đầu tiên phát hiện các cuộc xâm nhập và giám sát lưu lượng nhằm tìm ra các mẫu byte riêng biệt như các cuộc tấn công được biết một NID vốn hoạt động theo cách này được gọi là một hệ thống phát hiện sự xâm nhập dựa vào chữ ký. Loại IDS mạng còn lại là một bộ giám sát thống kê. Loại này giám sát lưu lượng trên mạng, nhưng thay vì tìm một mẫu hoặc chữ ký đặc trưng, chúng duy trì một danh sách lịch sử thống kê về các gói vốn đi qua mạng của bạn và báo cáo khi chúng thấy một gói nằm bên ngoài mẫu lưu lượng mạng bình thường.

NIDS sử dụng phương pháp này được gọi là các hệ thống phát hiện sự xâm nhập dựa vào tính bất thường.

  Trong phần này bạn sẽ học cách xác lập Snort, một IDS dựa vào chữ ký. Bạn cũng sẽ học cách xác lập Snort với SPADE vốn thêm những tính năng phát triển điều bất thường vốn thêm các tính năng phát triển điều bất thường vào Snort, cho bạn kết quả tốt đẹp của cả hai điều này đó. phần này cũng trình bày cách xác lập một số ứng dụng khác nhau vốn có thể giám sát và giúp bạn quản lý NIDS một khi bạn đã phát triển nó.

  Sau cùng, bạn sẽ học cách xác lập một hệ thống vốn dễ bị hư hại bởi những kẻ tấn công nhưng thật sự đợi và giám sát mọi thức mà nó thấy một cách yên lăng. những hệ thống này được gọi là các honeypot và các thủ thuật sau cùng sẽ hướng dẫn bạn cách thiết lập một hệ thống như vậy một cách nhanh chóng và dễ dàng và cách giám sát những kẻ xâm nhập vốn đã đánh lừa và bẫy bởi hệ thống này.


  Phát hiện sự xâm nhập bằng Snort.

   Sử dụng một trong những hệ thống phát triển sự xâm nhập mạng mạnh mẽ nhất( và miễn phí) có sẵn để giúp bạn theo dõi mạng của mình.
  Việc giám sát các log của bạn có thể đưa bạn chỉ đến xa như vậy trong việc phát hiện các cuộc xâm nhập. Nếu các log được tạo bởi 1 dịch vụ vốn đã bị tổn hại, bạn không còn có thể tin vào các log của mình nữa. Đây là nơi mà NIDS được đưa vào áp dụng. Chúng có thể cảnh báo cho bạn về những nỗ lực xâm nhập hoặc thậm chí các cuộc tấn công xâm nhập đang diễn ra chức vô địch không bị tranh chấp của NIDS nguồn mở là Snort (http://www.snort.org). Một số tính năng vốn làm cho Snort mạnh mẽ như vậy là bộ máy quy tắt dựa vào chữ ký của nó và khả năng mở rộng dễ dàng của nó thông qua các plug-in và các bộ tiền xử lý. Những tính năng này cho phép mở rộng Snort theo bất ký hướng nào mà bạn cần. Kết quả, bạn không phù thuộc vào bất kỳ người khác để cung cấp cho bạn các quy tắt khi một khai thác mới gây sự chú ý của bạn: với một sự hiểu biết cơ bản về TCP/IP, bạn có thể viết các quy tắt riêng cho mình một cách nhanh chóng và dễ dàng. Đây có lẽ là tính năng quan trọng nhất của Snort vì có lẽ cuộc tấn công mới được phát hiện và được báo cáo mọi lúc. Ngoài ra, Snort có một cơ chế lập báo cáo rất linh hoạt nhằm cho phép bạn gửi các thông báo đến một syslogd, các file flat hoặc thậm chí một cơ sở dữ liệu.

  Để biên dịch và cài đặt một phiên bản đơn giản của Snort, Download phiên bản mới nhất và giải nén nó. Chạy Script configure và sau đó chạy make:

$ ./configure && make

Sau đó trở thành root và chạy:

# make install

Chú ý rằng tất cả tiêu đề và thư viện cho libcap (http://www.tcpdump.org) phải được cài đặt trước khi bạn bắt đầu tạo Snort, nếu không việc biên dịch sẽ không thành công. Ngoài ra, bạn có thể sử dụng các túy chọn cấu hình -with-libpcar includes và -with-libpcap-libraries để cho trình biên dịch biết nơi nó có thể tìm thấy các thư viện và tiêu đề. Tuy nhiên, bạn chỉ cần thực hiện điều này nếu bạn đã cài đặc các thư viện và các tiêu đề ở một vị trí không chuẩn( Nghĩa là ở nơi nào đó ngoại trừ hệ thống phân cấp /user, hoặc /user/local).

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

[CCNAv6 S4] 8.2.4.14 Packet Tracer - Troubleshooting Enterprise Networks 3

Hình ảnh
Packet Tracer – Troubleshooting Enterprise Networks 3 Addressing Table Background This activity uses a variety of technologies you have encountered during your CCNA studies, including routing, port security, EtherChannel, DHCP, NAT, PPP, and Frame Relay. Your task is to review the requirements, isolate and resolve any issues, and then document the steps you took to verify the requirements. Note: This activity begins with a partial score. Requirements DHCP ·         R1 is the DHCP server for the R1 LAN. Switching Technologies ·         Port security is configured to only allow PC1 to access S1's F0/3 interface. All violations should disable the interface. ·         Link aggregation using EtherChannel is configured on S2, S3, and S4. Routing ·         All routers are configured with OSPF process ID 1 and no routing updates should be sent across interfaces that do n...
Đọc thêm

[CCNAv6 S2] 2.2.2.4 Packet Tracer - Configuring IPv4 Static and Default Routes

Hình ảnh
Packet Tracer - Configuring IPv4 Static and Default Routes Addressing Table Objectives Part 1: Examine the Network and Evaluate the Need for Static Routing Part 2: Configure Static and Default Routes Part 3: Verify Connectivity Background In this activity, you will configure static and default routes. A static route is a route that is entered manually by the network administrator to create a reliable and safe route. There are four different static routes that are used in this activity: a recursive static route, a directly attached static route, a fully specified static route, and a default route. Part 1:     Examine the Network and Evaluate the Need for Static Routing a.     Looking at the topology diagram, how many networks are there in total? b.    How many networks are directly connected to R1, R2, and R3? c.     How many static routes are required by each router to reach networks that are not directly ...
Đọc thêm

[CCNAv6 S2] 7.3.2.4 Packet Tracer - Troubleshooting Standard IPv4 ACLs

Hình ảnh
Packet Tracer – Troubleshooting Standard IPv4 ACLs Addressing Table Objectives Part 1: Troubleshoot ACL Issue 1 Part 2: Troubleshoot ACL Issue 2 Part 3: Troubleshoot ACL Issue 3 Scenario This network is meant to have the following three policies implemented: ·         Hosts from the 192.168.0.0/24 network are unable to access network 10.0.0.0/8. ·         L3 can’t access any devices in network 192.168.0.0/24. ·         L3 can’t access Server1 or Server2. L3 should only access Server3. ·         Hosts from the 172.16.0.0/16 network have full access to Server1, Server2 and Server3. Note: All FTP usernames and passwords are “cisco”. No other restrictions should be in place. Unfortunately, the rules that have been implemented are not working correctly. Your task is to find and fix the errors related to the access lists on R1. Part 1:     Troublesh...
Đọc thêm