Hệ thống phát hiện xâm nhập (IDS) ~ Nhoxnamby

Hệ thống phát hiện xâm nhập (IDS)

>> hôm nay có chút thời gian nên viết bài này các bạn tự nghiên cứu và xem thêm trên google!!!!!

Một hệ thống cố gắng xác định những nỗ lực để hack hoặc đột nhập vào một hệ thống máy tính hoặc lợi dụng nó. IDS có thể giám sát các gói tin qua các mạng, các file hệ thống màn hình, file màn hình đăng nhập, hoặc thiết lập các hệ thống lừa dối mà cố gắng để bẫy hacker. Hệ thống máy tính đã trở nên dễ bị tổn thương hơn để xâm nhập hơn bao giờ hết. Intrusion Detection là một công nghệ bảo mật cho phép không chỉ phát hiện các cuộc tấn công, nhưng cũng cố gắng để cung cấp thông báo về các cuộc tấn công mới không lường trước được do khác thành phần. Phát hiện xâm nhập là một thành phần quan trọng của một hệ thống an ninh, và nó bổ sung các công nghệ bảo mật khác. >> Làm thế nào để một tác phẩm IDS? Trong khi có một số loại IDS, những loại phổ biến nhất làm việc như nhau. Họ phân tích lưu lượng mạng và file log mẫu nhất định. Những loại mẫu mà bạn có thể yêu cầu? Trong khi một bức tường lửa liên tục sẽ chặn một hacker từ kết nối với một mạng, hầu hết các bức tường lửa không bao giờ cảnh báo cho người quản trị. Các quản trị viên có thể nhận thấy nếu anh / cô ấy sẽ kiểm tra bản ghi truy cập của các bức tường lửa, nhưng đó có thể là vài tuần hoặc thậm chí vài tháng sau vụ tấn công. Đây là nơi mà một IDS đi vào chơi. Những nỗ lực để vượt qua thông qua các bức tường lửa được ghi lại và IDS sẽ phân tích log của nó. Tại một số điểm trong bản ghi sẽ có một số lượng lớn các yêu cầu-từ chối mục. Một IDS sẽ cờ các sự kiện và cảnh báo cho người quản trị. Các quản trị viên sau đó có thể xem những gì đang xảy ra ngay sau khi hoặc thậm chí trong khi các cuộc tấn công vẫn đang diễn ra. Điều này cho phép người quản trị lợi thế là khả năng phân tích các kỹ thuật được sử dụng, nguồn gốc của các cuộc tấn công, và các phương pháp được sử dụng bởi các hacker. >> Sau đây là các loại hệ thống phát hiện xâm nhập: - 1) Host-Based Intrusion Detection System (HIDS) : phát hiện xâm nhập máy chủ dựa trên hệ thống hoặc HIDS được cài đặt như là đại lý trên một máy chủ. Các hệ thống phát hiện xâm nhập có thể nhìn vào hệ thống và ứng dụng đăng nhập các tập tin để phát hiện bất kỳ hoạt động kẻ xâm nhập. 2) Network-Based Intrusion Detection System (NIDS): Những IDS phát hiện các cuộc tấn công bằng cách bắt các gói tin mạng phân tích. Lắng nghe trên một đoạn mạng hoặc switch, một IDS dựa trên mạng có thể giám sát lưu lượng mạng ảnh hưởng đến nhiều host được kết nối với các phân đoạn mạng, do đó bảo vệ các host. IDS dựa trên mạng thường bao gồm một bộ cảm biến đơn mục đích hoặc máy chủ đặt tại các điểm khác nhau trong mạng. . Những lưu lượng mạng đơn vị theo dõi, thực hiện phân tích địa phương lưu lượng truy cập và báo cáo các cuộc tấn công vào một giao diện điều khiển trung tâm quản lý >> Một số chủ đề quan trọng đi kèm theo phát hiện xâm nhập được như sau: - 1) Chữ ký: Chữ ký là mô hình mà bạn tìm kiếm bên trong một dữ liệu gói. Một chữ ký được sử dụng để phát hiện một hoặc nhiều loại tấn công. Ví dụ, sự hiện diện của "kịch bản / iisadmin" trong một gói tin đi đến máy chủ web của bạn có thể chỉ ra một hoạt động kẻ xâm nhập. Chữ ký có thể có mặt trong các phần khác nhau của một gói dữ liệu tùy thuộc vào bản chất của các cuộc tấn công. 2) Cảnh báo: Cảnh báo bất kỳ loại người dùng thông báo của một hoạt động kẻ xâm nhập. Khi một IDS phát hiện một kẻ xâm nhập, nó có để thông báo cho quản trị bảo mật về điều này bằng các thông báo. Alerts có thể ở dạng cửa sổ pop-up, đăng nhập vào một giao diện điều khiển, gửi e-mail và như vậy. Thông báo cũng sẽ được lưu trữ trong các tập tin đăng nhập cơ sở dữ liệu hoặc nơi họ có thể được xem sau này của các chuyên gia an ninh. 3) Logs: Các thông điệp log thường được lưu trong các tin nhắn file.Log có thể được lưuhoặc trong văn bản hoặc định dạng nhị phân. 4) Báo động sai: báo động sai là cảnh báo được tạo ra do một dấu hiệu cho thấy đó không phải là một hoạt động kẻ xâm nhập. Ví dụ, máy chủ nội bộ sai đôi khi có thể phát sóng các tin nhắn mà gây ra một quy tắc dẫn đến thế hệ của một cảnh báo giả. Một số router, giống như các router Linksys nhà, tạo ra rất nhiều cảnh báo liên quan UPnP.Để tránh các báo động sai, bạn phải thay đổi và điều chỉnh quy tắc mặc định khác nhau. Trong một số trường hợp, bạn có thể cần phải vô hiệu hóa một số các quy tắc để tránh báo động sai. 5) Bộ cảm biến: Các máy tính trên đó một hệ thống phát hiện xâm nhập đang chạy cũng được gọi là cảm biến trong văn học bởi vì nó được sử dụng để "cảm giác" mạng.
>> Snort:

Snort là một hệ thống phát hiện xâm nhập mạng lưới rất linh hoạt mà có một lượng lớn các quy tắc cấu hình trước. Snort cũng cho phép bạn ghi tập hợp quy tắc của riêng bạn. . Có một số danh sách gửi thư trên internet, nơi mọi người chia sẻ quy tắc snort mới có thể đối phó với các cuộc tấn công mới nhất của Snort là một ứng dụng bảo mật hiện đại có thể thực hiện ba chức năng sau: * Nó có thể phục vụ như là một gói sniffer. * Nó có thể làm việc như một gói logger. * Nó có thể làm việc như một mạng dựa trên hệ thống phát hiện xâm nhập (NIDS).

CÔNG CỤ:

Smooth-Sec 3,0 Intrusion Detection System

Smooth-Sec là một IDS nhẹ và hoàn toàn sẵn sàng / IPS (Intrusion Detection / Prevention System) phân phối Linux dựa trên Debian 7 (khò khè), có sẵn cho kiến trúc 32 và 64 bit. Việc phân phối bao gồm các phiên bản mới nhất của Snorby, Snort, Suricata, PulledPork và chuồng. Một quá trình cài đặt dễ dàng cho phép triển khai một hoàn IDS / IPS hệ thống trong vòng vài phút, thậm chí cho người mới bắt đầu an ninh với kinh nghiệm tối thiểu Linux.