Windows Server 2003 SP2ビルドIDSプロセスの詳細

実際には、市場で最も人気のあるIDS製品の価格は数十万から数百万の範囲にあり、この比較的高価なチーズは広く批判されています。その結果、一般的な中小企業はIDS製品を実装することができず、ルーター、ファイアウォール、および3層スイッチの強化に力が注がれますが、すでに多くの中小企業がIDS製品を適用していますが、IDSの自然欠陥無効にします。 IDSが必要なプロセスであるため、これに飽きることはありませんIDS機能を備えたIPSは、数年以内に単一のIDSの主流を完全に置き換える可能性があります。実際には、IDSの技術的な手段はそれほど不思議ではありません次に、この記事では、 "shun vines"の静脈を持つ、より単純なIDSエントリーレベルのフレームワークを紹介します。市場分布と開始の困難さの観点から、展開の例としてNIDSを選択することがより適切です。この記事では、完全なWindowsプラットフォームを使用して侵入検知プロセス全体を実行しますが、スペースの制限により、定性分析の観点から説明しています。

前提条件

IDS：侵入検知システム。ネットワークシステム情報を収集して侵入検知分析を行うためのソフトウェアとハ​​ードウェアのインテリジェントな組み合わせ。

IDSの標準化に取り組んでいる2つの組織、インターネット標準の作成者である侵入検知ワーキンググループ（IDWG、侵入検知ワーキンググループ）と共通侵入検知フレームワーク（CIDF） 。

IDSの分類：ネットワークIDS（ネットワークベース）、ホストベースIDS（ホストベース）、ハイブリッドIDS（ハイブリッド）、コンソールIDS（コンソール）、ファイル整合性チェッカー（ファイル整合性チェッカー）、ハニーポット（ハニーポット）。イベント生成システム

CIDFによると、侵入検知システム（IDS）の一般的なモデルの考え方が説明されており、すべての要素を含む最も単純な侵入検知コンポーネントが図に示されています。 CIDF仕様では、IDSが分析する必要があるデータをまとめてイベントと呼び、ネットワーク内のデータパケット、またはシステムログなどの他の方法から取得した情報を使用できます。

データフローがない（またはデータが収集される）、IDSは根のない木材であり、まったく役に立ちません。

IDSの草の根組織として、イベント生成システムは大きな役割を果たすことができ、定義されたすべてのイベントを収集し、それを他のコンポーネントに広げます。 Windows環境では、現在の基本的な方法はWinpcapとWinDumpを使用することです。

ご存知のように、イベント生成およびイベント分析システムにはLinuxとUnixのプラットフォームが広く使用されていますが、実際にはWindowsプラットフォームでも同様のLibpcapsがあります（カーネルからネットワークデータをキャプチャするUnixまたはLinux）。パッケージの必須ソフトウェアのためのツールはWinpcapです。

Winpcapは、無料のWindowsベースのネットワークインターフェースAPIで、ネットワークカードを「混合」モードに設定してから、ネットワークでキャプチャされたパケットをループ処理します。この技術は簡単に実装でき、移植性が高く、ネットワークカードとは無関係ですが、100 Mbps以下のネットワークには適していません。

対応するWindowsベースのネットワークスニッフィングツールはWinDump（Linux /Unixプラットフォーム）です。 TcpdumpはWindowsの移植版で、このソフトウェアはWinpcapインターフェースをベースにしている必要があります（ここでは誰かがWinpcap：Data Sniffing Driverと呼んでいます）。 WinDumpを使用すると、ルールに一致するパケットのヘッダーを表示できます。このツールを使用すると、ネットワークの問題を見つけたり、ネットワーク上のステータスを監視したり、ネットワークからのセキュリティや危険な動作をある程度効果的に監視したりできます。

これら2つのソフトウェアはインターネットで無料で入手できます。また、読者は関連するソフトウェア使用のチュートリアルを見ることもできます。

以下は、イベントの検出と取得を確立する手順の簡単な紹介です。

1.アセンブリソフトウェアとハ​​ードウェアシステム。ネットワークの忙しさに応じて、共通の互換機を使うか高性能の専用サーバーを使うかを決定します； NTコアWindowsオペレーティングシステムをインストールする場合はWindows Server 2003 Enterprise Editionを使用することをお勧めします。 NTFSフォーマットにはパーティションフォーマットが推奨されます。

2、サーバーのスペース分割は合理的かつ効果的であるべきです、プログラムのインストール、データログの保存、2つの間のスペースは異なるパーティションに配置されるのが最善です。

3、Winpcapのシンプルな実装。最初にそのドライバをインストールします、あなたはそのホームページまたはミラーサイトからWinPcap自動インストーラ（Driver + DLL）をダウンロードして直接インストールすることができます。

注：Winpcapを使用して開発している場合は、Developer's packもダウンロードする必要があります。

WinPcapは3つのモジュールで構成されています。最初のモジュールであるNPF（Netgroup Packet Filter）はVxD（Virtual Device Driver）ファイルです。その機能は、パケットをフィルタリングし、それらをそのままユーザモードモジュールに渡すことです。 2番目のモジュールpackage.dllは、packet.dllの上に構築されているWin32プラットフォームへの共通インタフェースを提供し、より便利で直接的なプログラミング方法を提供します。 3番目のモジュールWpcap.dllは、どのオペレーティングシステムにも依存せず、基盤となるダイナミックリンクライブラリであり、高レベルの抽象機能を提供します。 Winpcapをより効果的に使用するには、強力なC環境プログラミング機能が必要です。

4、WinDumpの作成。インストール後、Windowsのコマンドプロンプトモードで実行すると、ユーザーはネットワークステータスを表示できますが、これについては説明しません。

イベントの検出と取得は、ソフトウェアの互換性の問題、インストール、設定なしで実現できます。イベント分析システム当社のネットワークのほとんどはスイッチドイーサネットスイッチで接続されているため、イベント分析システムを確立する目的は、複数のネットワークファイアウォールデバイスと複数の取得方法（SnmpベースやSyslogデータ収集など）を検出することです。サポートをログに記録し、特定のイベントログ処理、統計、分析、およびクエリ機能を提供します。

イベント分析システムは、IDSの中核モジュールであり、主な機能は、さまざまなイベントを分析し、セキュリティポリシーに違反する行為を見つけることです。誰かと協力してソフトウェアシステムを書くことができるのであれば、ネットワークプロトコルの明確な理解、ハッカーの攻撃、システムの脆弱性など、厳密な事前開発の準備をしてから標準技術に基づくルールと戦略の開発を始める必要があります。標準と仕様を決定してから、実行効率を改善し、テストモデルを構築し、攻撃と分析のプロセスをシミュレートするためにアルゴリズムを最適化します。

イベント分析システムは監視ネットワークセグメントにあり、一般に、パターンマッチング、プロトコル分析、および行動分析という3つの技術的手段によって分析します。誤用パターンが検出されると、対応する警告メッセージが生成されて応答システムに送信されます。当分の間、プロトコル分析を使用することはリアルタイムで検出するための最良の方法です。

このシステムの考えられる方法の1つは、プロトコルアナライザが本体であり、それは既製のオープンプロトコル解析ツールキットに基づいて構築でき、プロトコルアナライザはネットワークに基づいてパケットレベルのネットワークトランスポートストリームを表示できます。プロトコルルールに対するアラートは、攻撃の存在を迅速に検出するために自動的に分析されるため、ネットワークプログラマや管理者はネットワークの活動を監視および分析して、障害を予防的に検出および特定できます。ユーザーは、WindowsシステムをサポートするEtherealと呼ばれる無料のネットワークプロトコルアナライザを試すことができます。ユーザは、イベント生成システムによって取り込まれた後にハードディスクに保存されたデータを分析することができる。キャプチャしたパケットをインタラクティブに閲覧して、各パケットの概要と詳細を表示できます。 Etherealには、ほとんどすべてのプロトコルのサポート、豊富なフィルタリング言語、TCPセッションの再構成が容易なデータストリームなど、多数の強力な機能があります。

応答システム

応答システムは人と物のための対話型システムで、システム全体の転送ステーションと調整ステーションと言えます。人はシステム管理者であり、オブジェクトは他のすべてのコンポーネントです。詳細には、応答システムコーディネータは、セキュリティイベントの記録、アラーム情報（電子メールフォームなど）の生成、追加ログの記録、侵入者の隔離、プロセスの終了、および事前定義に従って被害者の禁止を行う必要があります。ポートとサービスは、逆行防止でも、手動応答と自動応答（マシンベースの応答）を取ることができ、2つの組み合わせが優れたものになります。

応答システムの設計要素

（1）イベント分析システムによってイベント生成システムからフィルタリング、分析、および再構築されたイベントアラーム情報を受け入れてから、対話式にユーザー（管理者）に問い合わせます。ルールを判断し、管理措置を取る。

（2）イベントデータベースシステムの管理、ルールベースの変更、セキュリティポリシーの設定、さまざまなネットワーク環境に応じたデータベースシステムの読み書きのためのインターフェイスを管理者に提供します。

（3）フロントエンドシステムで動作するとき、それはイベント生成および分析システム（まとめてイベント検出器と呼ばれる）を管理し、システムによって収集、検出および分析されたイベントを分類およびフィルタリングすることができます。セキュリティルールを変更します。

応答システムとイベントディテクタは通常アプリケーションとして実装されています。

設計アイデア：応答システムは、監視と制御という2つのプログラム部分に分けることができます。リスニング部分は空きポートにバインドされ、イベントディテクタから送信された分析結果およびその他の情報を受信し、管理者が読み取り専用の呼び出し、ユーザーの許可に応じた変更、および特殊操作を行うことができるため、格納されたファイルをイベントデータベースシステムに変換します。コントロール部は、GTK +を使用してGUIを作成し、より直感的なグラフィカルユーザーインターフェイスを開発することができます主な目的は、ユーザーに警告情報を表示するためのより便利で使いやすいインターフェイスを提供することです。

イベントデータベースシステム

Windowsでは、Accessは習得が簡単ですが、SQL Server 2000で構築する方がAccessよりも効果的であり、開始するのはそれほど難しくありません。管理者が表示して攻撃レビューやフォレンジックに使用できるように、イベント情報を保存して並べ替えます。

このシステムは比較的簡単に構築でき、データベースソフトウェアの基本機能だけを必要とします。

コンポーネント間の意図的なコミュニケーションを調整するには、各コンポーネントは互いに受け渡しされるさまざまなデータのセマンティクスを正しく理解できなければなりません。 CIDFの通信メカニズムを参照することで、3層モデルを構築できます。安全性、効率性、滑らかさを確保するために、コンポーネント間の相互運用性に注意してください。

統合はフォローアップ作業で継続し、各コンポーネントの機能性は向上し続けます。基本的なWindowsベースのIDSフレームワークが構築されています。あなたがネットワークの条件を満たすならば、あなた自身のチーズを作るようにしてください。