Lataa esitys
Esittely latautuu. Ole hyvä ja odota
JulkaistuMauno Kinnunen Muutettu yli 9 vuotta sitten
1
Intrusion Detection System (IDS) Teemu Kokkinen Kevät 2007
2
Esityksen Sisältö ● IDS-järjestelmät palveluna ● Snort ja sen toiminta ● Snortin asennus ja konfigurointi ● Lisäohjelmat ● Ylläpito ● Vaihtoehto ● Johtopäätökset ja tiivistelmä
3
IDS-järjestelmät palveluna ● Parantavat tietoturvaa: - Automatisoivat verkon tarkkailua - Kuuntelevat verkossa kulkevia paketteja ja tutkivat näitä - Normaalisti eivät kuormita verkkoa paljon
4
IDS-järjestelmät palveluna ● IDS-järjestelmät voidaan jakaa kolmeen eri tyyppiin: - Network-based IDS - Host-based IDS - Application-based IDS
5
IDS-järjestelmät palveluna ● Hyökkäysten analysointi perustuu ennalta tunnettuihin sääntöihin ● Uhkien havaittaessa IDS-järjestelmä voi reagoida aktiivisesti ja/tai passiivisesti sille annettujen ohjeiden mukaan
6
Snort ja sen toiminta ● Snort ohjelmana: - Ilmainen opensource-ohjelma - Toimii monilla käyttöjärjestelmillä - Tekijät päivittävät usein - Niittänyt mainetta jo vuosia
7
Snort ja sen toiminta ● Snortin toiminta jakautuu neljään osaan: - Haistelija ja dekooderi - Datan siistimiseen käytettävä prosessori - Uhkien tunnistamiseen oma tunnistusmoottorinsa - Viimeisenä uhkista ilmoittaminen ja lokitiedoston kirjanpito
8
Snort ja sen toiminta
9
Snortin asennus ja konfigurointi ● Asennetaan Snort 2.6.0 Debian Linuxille ● Vaatimuksena asennukselle - libcap-kirjasto ● Toteutuksen kannalta myös hyvä olla - MySQL-tietokanta ja PHP
10
Snortin asennus ja konfigurointi ● Helpoin tapa asentaa Snort on aptituden oman käyttöliittymän avulla ● Toinen tapa on suoraan komentoriviltä hakea se verkosta wget-komennolla osoitteesta: http://www.snort.org/dl/old/snort-2.6.0.tar.gz ● Snortin asentamisen yhteydessä on muistettava linkittää sen tiedostoja yhteen tietokannan kanssa komennolla #./configure --with-mysql --enable- dynamicplugin
11
Snortin asennus ja konfigurointi ● Snortille on myös hyvä tehdä oma käyttäjäryhmä sekä omat kansiot lokitiedostoille ● Ohjelmalle haetaan erikseen omat sääntönsä netin kautta. Ilman rekisteröitymistä ne löytää osoitteesta: http://www.snort.org/pub- bin/downloads.cgi/Download/vrt_pr/snortrul es-pr-2.4.tar.gz
12
Snortin asennus ja konfigurointi ● Säännöt puretaan yhteen kaikkien Snortin mukana tulleiden *.conf- ja *.map- tiedostojen kanssa. ● Sen jälkeen määritellään pääkonfiguraatiotiedostoon snort.conf kotiverkko (dmz-verkko), ulkopuolinen verkko ja kansiopolku missä säännöt löytyvät.
13
Snortin asennus ja konfigurointi ● Snortin käynnistyskomento: # /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf ● Sitten tietokannan konfigurointi Snortin kanssa ● Asennetaan salasana ja avataan MySQL- terminaali ● Snortille tehdään oma tietokanta, annetaan oikeudet ja asetaan tietokannalle salasana.
14
Snortin asennus ja konfigurointi ● Taulut tehdään Snortin mukana tulevien omien mallien pohjalta: # cd /usr/local/src/snort-2.6.0/schemas/ # mysql -u root -p < create_mysql snort ● snort.conf-tiedostosta otetaan pois kommenteista MySQL-tietokantaa koskeva rivi.
15
Lisäohjelmat ● Basic Analysis and Security Engine (BASE) ● Oinkmaster ● Barnyard
16
Lisäohjelmat ● Barnyard löytyy myös netistä: http://www.snort.org/dl/barnyard/barnyard- 0.2.0.tar.gz ● Barnyard myös linkitetään MySQL- tiedostoihin komennolla: #./configure --enable-mysql ● Snortin tietokantakäyttö otetaan pois päältä tiedostosta snort.conf ja rivit jotka alkavat output alert_unified ja output log_unified otetaan pois kommenteista.
17
Lisäohjelmat ● Barnyardin omaan konfiguraatiotiedostoon barnyard.conf kirjoitetaan: - oman koneen - verkkolaitteen nimi - kommentoidaan kaikki output sanalla alkavat kohdat paitsi output log_acid_db niminen kohta joka jätetään päälle.
18
Lisäohjelmat ● Barnyard käyttää apuna Snortin lokeja. Luodaan tiedosto bylog.waldo johon tulee Snortin lokin polku, lokin tiedostonimi ja annetaan oletusaikaleima. ● Barnyardin käynnistyskomento: # /usr/local/bin/barnyard -c /etc/snort/barnyard.conf -g /etc/snort/gen- msg.map -s /etc/snort/sid-msg-map -d /var/log/snort -f snort.log -w /etc/snort/bylog.waldo &
19
Ylläpito ● Snortin tietokannan katselu: # mysql -u -root -p mysql> use snort; mysql> show tables; tai sitten vain # mysql -uroot -pmypassword -D snort -e "select count(*) from event"
20
Ylläpito ● Käynnistys-skripti on kätevä tapa käynnistää Snort aina koneen alotuksessa. - Skriptia varten tehdään oma tiedosto ja sinne tulevat Snortin (sekä myös Barnyardin) käynnistyskomennot - Lopuksi siitä tehdään suoritettava tiedosto ja linkitetään yhteen tarvittavien kansioiden kanssa # chmod +x /etc/init.d/snort-barn # update-rc.d snort-barn defaults 95
21
Vaihtoehto ● Cisco Security Agent - Toimii monilla käyttöjärjestelmillä - Kaupallinen - Laaja tietoturvapaketti
22
Johtopäätökset ja tiivistelmä ● IDS-järjestelmät on kohtuullinen parannus verkkojen tietoturvaan ja tukevat muita tietoturvaa parantavia sovelluksia kuten palomuuri ja virustorjunta ● Suurin osa IDS-systeemeista verkkopohjasia, joita löytyy ilmaisina ja kaupallisina ● Ohjelman säännöstöä on ylläpidettävä jotta järjestelmä säilyisi hyödyllisenä ● Taitavat hakkerit voivat silti huijata IDS- järjestelmiä
Samankaltaiset esitykset
© 2024 SlidePlayer.fi Inc.
All rights reserved.