Ein neuer Mechanismus zur Erkennung unbekannter Linux / IOS-Angriffe
1 1 1 1 1 1 1 1 1 1 Bewertung 5.00 (2 Stimmen)

Einführung

Generierung von Payloads mit MetaSploit und MSF Venom

MSF Venom ist ein Befehlszeilentool, das dem Testteam dabei hilft, eigenständige Payloads zu generieren, die auf anfälligen Maschinen und Systemen ausgeführt werden können, um auf die Systeme aus der Ferne zuzugreifen. MSF Venom ist eine Kombination aus MSF Payload und MSF-Codierung, die verschiedene Optionen zum Testen von System-Schwachstellen unterstützen. Einige dieser Optionen, die von MSF Venom in Anspruch genommen werden, umfassen die Verwendung von Payloads, in der beschrieben wird, wie benutzerdefinierte Payloads für die Tests verwendet werden, die Standardoptionen für die verschiedenen Payloads aufgelistet werden, der Modultyp angegeben wird, der Payloads umfassen kann, Encoder, die Länge der Payloads bestimmen und die Ausgabe bestimmen Format, liste die verfügbaren Formate auf (Almgren, 2000).

Der MSF Venom verlangt auch, dass die Penetrationstester den zu verwendenden Encodertyp, die Systemarchitektur, die Plattform, auf der die Payload arbeiten soll, die maximale Größe der resultierenden Payload, die maximale Größe der codierten Payload und die Liste der zu vermeidenden Zeichen festlegen Bei den Tests wird angegeben, wie oft die Nutzdaten codiert werden. Sie geben eine benutzerdefinierte ausführbare Datei an, die als Vorlage verwendet werden soll, und behält das Verhalten der Vorlage und die Injektion von Nutzdaten bei. Im Folgenden finden Sie eine Momentaufnahme der verschiedenen verfügbaren MSF Venom-Optionen für die Penetrationstestphase.

Dies ist eine Sprache, in der das Metaspoilt-Programm erklärt wird. Es kann jede Sprache als Standardsprache verwendet werden.

Hypothese: Wie falsch positive und falsch negative Konzepte verwendet werden können, um die Sensitivitätsanalyse in Systemen zu bestimmen.

Beim Entwickeln und Ausführen von Computersystemen und -anwendungen ist es wichtig, das System vor Cyber-basierten Bedrohungen zu schützen und zu schützen. Eine Sensitivitätsanalyse ist eine komplexe Untersuchung von Unsicherheiten bei der Ausgabe eines Computersystems oder einer Anwendung. Bei der Sensitivitätsanalyse werden verschiedene Annahmen und Tests getestet, um den Grad der Unsicherheit und den Einfluss einer Variablen auf die Systemleistung zu bestimmen (Denning, 2012).

Diese Studie ist wichtig, um die Robustheit des Systems durch Testen von Unsicherheiten zu ermitteln und das Verständnis der Anwendung oder des Systems zu verbessern, um Schwachstellen und Stärken des Systems oder der Anwendung zu ermitteln. Die Sensitivitätsanalyse wird dem System- und Anwendungsentwicklungsteam auch dabei helfen, Unsicherheiten und Schwachstellen zu erkennen. Dadurch kann das Entwicklungsteam diese Unsicherheiten, Fehler und Schwachstellen reduzieren. Es hilft auch bei der Identifizierung von Teilen der Modelleingabe, die die Ausgabe nicht beeinflussen, und hilft somit, das Systemmodell zu vereinfachen (Feng, 2004).

Die Studie wird auch dazu beitragen, die Kommunikation zwischen dem Entwicklungsteam und Entscheidungsträgern zu verbessern, um Ideen auszutauschen und Empfehlungen zur Verbesserung des Systems abzugeben, bevor es der Öffentlichkeit zugänglich gemacht wird. Die Studie identifiziert auch Eingangsfaktoren und Auswirkungen auf die Systemleistung, um die optimalen Messwerte und empfindlichen Parameter innerhalb des Systems zu bestimmen, die das endgültige System beeinflussen können (Forrest, 2010).

Der Zweck dieses Forschungspapiers besteht darin, ein System auf Unsicherheiten und Fehler zu testen, um Schwachstellen zu reduzieren, die das System möglicherweise durch Cyberbedrohungen gefährdet werden. Einige der zu testenden Angriffe umfassen unbekannte und bekannte Angriffe. Bekannte Bedrohungen und Angriffe sind im Wesentlichen Angriffe, die durch Signaturen auf Antiviren- und Intrusion Detection-System-Engines und Domänen-Reputations-Blacklists gut identifiziert werden. Unbekannte Angriffe dagegen sind neu und enthalten keine aufgezeichnete Angriffssignatur und stellen daher eine ernstere Bedrohung dar, da ihre Funktionsweise unbekannt ist (Ghosh, 2007).

Vor diesem Hintergrund wird in der Arbeit untersucht, wie die Konzepte der falsch positiven und falsch negativen Ergebnisse für die Sensitivitätsanalyse verwendet werden können. Ein falsch positiver Alarm, der auch als Fehlalarm bezeichnet wird, ist ein Testergebnis, das anzeigt, dass eine bestimmte Bedingung erfüllt ist. Dies ist ein Fehler vom Typ I, der eine einzelne Bedingung prüft, z. B. das Vorhandensein von Codefehlern im System, und die Ergebnisse sind entweder wahr oder falsch. Das False-Negativ dagegen ist ein Test, der darauf hinweist, dass die Ergebnisse, dass die getestete Bedingung fehlgeschlagen ist, das tatsächliche Ergebnis jedoch erfolgreich ist. Dies ist ein Fehler vom Typ II, bei dem eine einzelne Bedingung getestet wird, wobei das Ergebnis entweder positiv oder negativ ist (Ilgun, 2011).

Eine der Anwendungen, die in diesem Dokument verwendet werden sollen, sind die MSF Venom-Anwendung und die Metasploit-Tools zur Durchführung von Penetrationstests auf dem Zielsystem oder der Zielanwendung. MSF Venom ist ein Befehlszeilentool, mit dem die Systementwickler eigenständige Nutzdaten auf anfälligen Systemen generieren können, um remote auf das System zuzugreifen. Metasploit hingegen ist ein Testtool, mit dem Application Penetration Tester Antivirenlösungen umgehen können. Das Testteam kann Nutzdaten generieren, die Netzwerksegmentierung testen und die Leistung und Produktivität des Systems steigern, indem Systemfunktionen gemeldet und automatische Updates aktiviert werden. In diesem Artikel werden Penetrationstests untersucht, die durchgeführt werden müssen, um Schwachstellen in den Systemen zu ermitteln, Fehlerarten und Angriffe zu identifizieren und Möglichkeiten zur Verbesserung der Systemproduktivität und zur Optimierung der Produktivität zu empfehlen (Javitz, 2010).

Bekannte und unbekannte Angriffe

Bekannte Cyber-Angriffe sind böswillige Angriffe auf Computersysteme und Anwendungen, die den Penetrationstestern bereits bekannt sind und deren Signatur bereits identifiziert wurde. Bekannte Angriffe beginnen als unbekannt und werden erst dann bekannt, wenn sie automatisch oder manuell in Lieferantenlaboren als bösartig eingestuft wurden und ihnen eine Signatur zugewiesen wurde. Die meisten aktuellen dynamischen Analyselösungen verwenden hochentwickelte Metriken, um zu ermitteln, ob eine generierte Nutzlast schädlich ist, wobei vorhersagende Algorithmen zur Charakterisierung der Nutzlastaktivität verwendet werden (Klein, 2005).

Der unbekannte Angriff ist nur ein neuer Angriff ohne Signatur. Der Unterschied zwischen einem bekannten und einem unbekannten Angriff ist ein Zeitunterschied, da mit der Zeit das Unbekannte bekannt wird. Die Angreifer-Datei wird von Suchmaschinen einfach als bösartig erkannt, sodass eine für die Suchmaschine unbekannte Nutzlast identifiziert werden muss. Dazu werden verfügbare Suchmaschinen gekauft und schädliche Dateien ausgeführt, bis ein Hacker Mittel findet, um die Suchmaschinen zu umgehen und die schädliche Datei nicht nachweisbar zu machen (Ko, 2011).

Das Design von sicheren Systemen, die Cyberangriffen standhalten können, ist nicht nur schwer, sondern auch sehr komplex. In der Vergangenheit haben Konstrukteure Schlösser gebaut, die sehr stark sind, indem sie starke Sicherheitsmechanismen um ihre Systeme legen. In der jüngeren Vergangenheit haben sich Konstrukteure geändert und konstruieren jetzt Systeme, die trotz fortgesetzter Angriffe immer noch in Betrieb sind, indem sie auf gut funktionierende Techniken zurückgreifen entwickelt durch Fehlertoleranz sowie Zuverlässigkeit (Kruegel, 2003).

Meta-Sploit

Das Exploit-Konzept ist normalerweise in mehrere Elemente unterteilt. Es wird zuerst mit der Verwundbarkeit verbunden. Nach dem Herstellen der Verbindung erhält der anfällige Code die Nutzdaten. Die Sicherheitsanfälligkeit wird dann von der Nutzlast ausgenutzt und eine Art Shell-Komponente erstellt. Abhängig von der Art der transportierten Nutzlast kann die Komponente der Shell erneut mit dem Handler verbunden werden, der normalerweise vor der Lieferung der Nutzlast generiert wird. Beim Herstellen der Verbindung kann die Shell Befehle zum Extrahieren von Informationen vom Zielcomputer empfangen. Es könnte auch eine Erweiterung seiner Funktionalität durch die Lieferung des Codes (Lane, 2010) vornehmen. Indem die Exploit-Elemente die Flexibilität der Bereitstellung verschiedener Arten von Shell-Nutzdaten bieten, tendieren sie dazu, die generische Schnittstelle zu verwenden, die vom Nutzdatenelement angeboten wird. Die verschiedenen Ausführungen der Payload-Schnittstelle bieten optionale Shell-Payloads, die wahrscheinlich an die Sicherheitsanfälligkeit verteilt werden. Die Entdeckung von Schwachstellen und die Entwicklung von Exploits ist eine herausfordernde Aufgabe, die unterschiedliche Denkweisen und Motivation erfordert. So viele Tools in Metaspolit-Frameworks zum Erkennen von Sicherheitslücken vorhanden sind, so viel Zeit wird das Metaspolit zum Ausnutzen bekannter Sicherheitslücken verwendet, was seine Hauptfunktion ist (Lee, 2000).

Das Vorhandensein von Sicherheitslücken im Netzwerk ist kein Muss, da Netzwerke zu sehr sicheren Administratoren geworden sind und selbst Benutzer, die nicht geschult sind, in der Regel das Ziel der Sicherheitslücke sind. Nach der Identifizierung gefährdeter Benutzer kann die Bereitstellung von Exploits durch Phishing-Angriffe oder persönlich durch die Verwendung eines rekrutierten Insiders erfolgen. Alle Metamodellelemente werden als Fassaden wahrgenommen. Beispielsweise werden für die Verbindungselemente für Metasploit, ein generisches Framework, API-Aufrufe angeboten, um Verbindungen mit fast allen bekannten Diensten unter OS (Liberty, 2002) herzustellen.

Payload-Elemente bieten das Exploit-Framework mit Codes, die bei Erfolg eines Exploits implementiert werden könnten. Handler fungieren jedoch nicht als Payloads, sondern sind aus Gründen der Ausführung Teil der Payload-Hierarchie der Klasse. Um eine umfassende detaillierte Kontrolle der Zielnetzwerke zu erhalten, müssen Nutzlasten eingesetzt werden, die Serverelemente auf Zielmaschinen generieren können. Darüber hinaus muss ihre Fähigkeit jederzeit erweitert werden können (Liljenstam, 2003).

Um diese Art von Funktionalität zu erhalten, müssen das Protokoll sowie der angreiferseitige Befehl und Verwaltungselemente integriert werden. Eine Reihe dieser Elemente kann im Metasploit-Framework beobachtet werden. Die Fassadenelemente der Benutzeroberfläche bieten Schnittstellen, über die der Angreifer verwalten kann, wie eine Reihe von Nutzdaten sowie Handler vor dem Start an die Exploit-Elemente angehängt werden können. Zu diesen Fassadenelementen gehören Manager, Controller, Proxys, Ansichten, Befehlsprozessoren und Befehle. Datenspeicherelemente verfügen über Schnittstellen, über die der Angreifer die Konfigurationsdetails eines Angriffs speichern kann (Lindqvist, 2001).

Typ I und Typ II Fehler

Der Fehler vom Typ 1 wird auch als falsch positiv bezeichnet. Dies ist deshalb der Fall, weil er die Nullhypothese auch dann ablehnt, wenn sie wahr ist. Es akzeptiert im Wesentlichen eine optionale Hypothese, wenn die Ergebnisse dem Zufall unterliegen. Dies tritt häufig auf, wenn Unterschiede beobachtet werden, wo es keine gibt. Der Typ-II-Fehler wird auch als falsch positiv bezeichnet. Dies ist so, weil sie dazu neigt, die Nullhypothese zurückzuweisen, wenn die optionale Hypothese als der wahre Zustand der Natur betrachtet wird. Es ist ein Fehler, wenn man eine fakultative Hypothese wegen unzureichender Macht nicht akzeptiert. Dies geschieht, wenn Individuen Unterschiede nicht beobachten, obwohl es eine davon gibt (Mahoney, 2002).

Das Testen der Hypothese ist der Prozess des Testens, ob Disparitäten in zwei untersuchten Verteilungen zufällig erklärt werden können oder nicht. Wenn Schlussfolgerungen gezogen werden können, dass es eine sinnvolle Art und Weise gibt, in der zwei Verteilungen variieren, muss eine angemessene Vorsichtsmaßnahme getroffen werden, um zu erkennen, dass die Unterschiede nicht zufällig sind. Fehler vom Typ I lassen keine ungerechtfertigten Hypothesen zu, weshalb Personen Vorsichtsmaßnahmen treffen, um die Wahrscheinlichkeit eines Auftretens zu verringern. Herkömmlicherweise wird versucht, Fehler vom Typ I als 0.05 oder 0.01 festzulegen, wenn nur eine oder fünf Chancen für das Auftreten eines Phänomens in Bezug auf den Grad der Signifikanz von 100 bestehen. Es kann jedoch nicht garantiert werden, dass 0.05 oder 0.01 ausreichend selten sind. Daher müssen signifikante Werte mit Vorsicht ausgewählt werden. Mehrfachprüfungen, die die wahrscheinliche Zunahme von Fehlern des Typs I darstellen, treten immer dann auf, wenn statistische Fehler wiederholt verwendet werden (Paxson, 2008).

Neuer Mechanismus, der unbekannte Angriffe erkennt, um sie bekannt zu machen

Es ist nicht möglich, ein Incursion-Toleranz-System zu erstellen, das eine bedeutende Menge an Zeit übersteht, ohne unbekannte Angriffsherausforderungen sowie eingeschränkte Failover-Ressourcen zu bewältigen. Es ist ratsam, das eigene System zu verhärten, um den Arbeitsfaktor des Gegners zu schätzen. Die Zeit, die für die Identifizierung neu auftretender Schwachstellen in einem System sowie für die Entwicklung seines Exploits erforderlich ist, könnte jedoch etwas lang sein (Almgren, 2000).

Für einen entschlossenen Gegner könnte dies sowohl Zeit als auch Geld sein. Bei der Entwicklung eines Angriffs ist eine begrenzte Zeit erforderlich, um ausgeführt zu werden. In den meisten Fällen ist die Zeit für die Erstellung einfacher Angriffsvarianten begrenzt. Wenn die Bedrohungsumgebung eines intrusionstoleranten Systems Gegner mit guten Ressourcen umfasst, sollte das System in der Lage sein, viele unbekannte Angriffe abzuwehren (Denning, 2012). Linux-Server

Linux ist zu einer beliebten Wahl für Betriebssysteme in der Serverumgebung geworden. Die Granularität sowie die Geschmeidigkeit der Einstellungen, die Sicherheit, die hohe Leistung sowie die Zuverlässigkeit sind seine Vorzüge im Vergleich zu anderen Systemen. Aufgrund infrastruktureller Einschränkungen werden zahlreiche Dienste auf einem Server gehostet, wodurch die Herausforderung erkannt wird, wie der Linux-Server geschützt werden kann. Die Linux-Server-Schutzpraxis kann keine einmalige Prüfung sein, sondern ist ein permanenter Mechanismus, der solange besteht, wie der Server verwendet wird. Ziel ist es, die Sicherheit zu erhöhen und Herausforderungen schnell zu erkennen (Feng, 2004).

Bei der Installation des Linux-Servers ist es wichtig, dass nicht benötigte Dienste deaktiviert werden. Nicht benötigte Pakete sollten ebenfalls entfernt werden. Die größte Bedrohung für Linux-Pakete besteht in unsicheren Softwarepaketen, die zur Ausführung einer Reihe von Befehlen verwendet werden, die von entfernten Standorten stammen. Dazu gehören die R-Befehle wie; rsh, rexec und rlogin. Diese Softwarepakete neigen dazu, Befehle, Benutzernamen und Passwörter bei fehlender vorheriger Aufzeichnung über Netzwerke zu übertragen. Wenn der Angreifer den Verkehr abfängt, kann er die Informationen sehen, die eine kritische Sicherheitsanforderung anhalten könnten. Es ist daher erforderlich, dass diese Pakete vom Linux-Server gelöscht werden und Protokolle verwenden, die verschlüsselte Kommunikation verwenden, zum Beispiel das SSH.

Der Administrator des Servers sollte mit Bedacht prüfen, ob es für eine Reihe von Protokollen wichtig ist, dass sowohl der Client als auch der Server vom File Transfer Protocol und Telnet unterstützt werden. Es ist wichtig, dass Dateien von isolierten FTP-Servern heruntergeladen werden. Der Betrieb eines FTP-Servers, der nicht verwendet wird, ist eine kritische Bedrohung für Linux-Server (Forrest, 2010).

Der Administrator von Linux-Servern muss ein Linux-Betriebssystem einrichten, das eine sichere Übertragung von Dateien bietet, um die Paketaktualisierung sowie die Anwendung der entsprechenden Patches zu verbessern. Alle Daten, die diese Netzwerke durchlaufen, müssen vom Administrator verschlüsselt werden, sofern dies möglich ist. Die Systemadministratoren haben beim Fernzugriff auf den Linux-Server sowohl das SSH- als auch das Telnet-Protokoll verwendet.

Telnet ist jetzt jedoch absolut, da es niemals Daten verschlüsselt, die mit Servern ausgetauscht werden, und dies schließt die Anmeldeinformationen der Benutzer ein. Jede Person in diesem Netzwerk zwischen dem Computeradministrator und dem kommunizierenden Server kann Pakete abfangen und Benutzeranmeldeinformationen besitzen, um die vollständige Kontrolle über den Server zu erlangen. Aus diesen Gründen wird das SSH-Protokoll dem Telnet-Protokoll vorgezogen.

Das SSH-Protokoll bietet Kommunikationsschutz im Server durch Bereitstellung einer asymmetrischen fundamentalen Kryptographie. Die Kommunikation zwischen SSH-Servern und Clients ist tendenziell verschlüsselt und unerklärlich für Dritte, die ausgetauschte Pakete abfangen könnten. Die Authentifizierung des SSH-Servers könnte durch die verschlüsselte Übertragung von Benutzeranmeldeinformationen erreicht werden. Dies könnte auch durch die Verwendung von manuell erstellten asymmetrischen Schlüsseln vermieden werden, bei denen keine Kennwörter verwendet werden müssen (Ghosh, 2007).

Wenn die Authentifizierung mit manuell generierten Schlüsseln ohne Übertragung von Passwörtern erfolgt, sollte der Authentifizierungsschlüssel das Gerät sein, das auf den Linux-Server zugreifen kann. Die Verwendung von Benutzeranmeldeinformationen ist für Administratoren von entscheidender Bedeutung, um sich beim Server anzumelden. Dabei werden unterschiedliche Computer für die isolierte Anmeldung beim Server verwendet. Für die Kommunikation und koordinierte Authentifizierung zwischen zwei Linux-Servern ist es wichtig, dass manuell erstellte asymmetrische Schlüssel verwendet werden. Dies ist so, weil es permanente Teilnehmer an dieser Kommunikation gibt, wodurch das Erfordernis des Schreibens von Passwörtern für die Dateien vermieden wird.

Sichere Kommunikationskanäle

Wenn die Übertragung von Dateien zwischen Linux-Servern und Remotecomputern erforderlich ist, sollte dies über sichere Kommunikationskanäle erfolgen. Das FTP-Protokoll ist sehr beliebt für Dateiübertragungen. Es ist jedoch ähnlichen Sicherheitsrisiken ausgesetzt wie das Telnet-Protokoll. Daher werden auch sichere Optionen wie SCP, FTPS oder SFTP empfohlen. Mit dem Secure File Transfer Protocol (SFTP) wird in der Regel eine sichere und verschlüsselte Kommunikation mithilfe von Remote-Geräten hergestellt, um den Zugriff auf, die Übertragung und die Verwaltung von Dateien zu verbessern. Dieses Protokoll verwendet auch einen SSH-Tunnel für die Manipulation von Dateien auf isolierten Servern (Ilgun, 2011).

Das File Transfer Protocol Secure (FTPS) stammt aus dem FTP, das auf Transport Layer Security (TLS) sowie auf Secure Sockets Layer (SSL) basiert, die den sicheren Datentransfer verbessern. FTPS entspricht weitgehend dem HTTPS-Protokoll (Hypertext Transfer Protocol Secure) und erfordert ein digitales Zertifikat auf Servern. Da andere Kommunikationspartner dem bereitgestellten digitalen Serverzertifikat vertrauen sollten, könnte dies zu Herausforderungen bei der Ausführung der gesamten Lösung führen. Wenn die Fähigkeit der Übertragung sowohl für die Systemanforderungen als auch für Zwecke der Serververwaltung genutzt wird, ist es erforderlich, dass das SFTP-Protokoll verwendet wird, da es viele Alternativen für die Dateiverwaltung bietet (Javitz, 2010).

Für den Fall, dass Dateien vom Linux-Server als Dienst für seine Endbenutzer übertragen werden, wird empfohlen, das FTPS-Protokoll zu verwenden, da es die Authentifizierung des Servers mithilfe digitaler Zertifikate verbessert. FTPS verwendet in der Regel UDP- oder TCP-990- sowie 989-Ports, um Verbindungen herzustellen und Dateien zu übertragen. Es ist daher wichtig, dass diese Ports auf Linux-Servern offen bleiben. Das Secure Copy Protocol (SCP), das das SSH-Protokoll verwendet, garantiert die Verschlüsselung sowie die Authentifizierung verschlüsselter Daten. Dieser Prozess ist der gleiche wie der, der vom SFTP-Protokoll verwendet wird. Dies beinhaltet jedoch mehr Funktionen als nur das Übertragen von Dateien. SCP verwendet den Port 22 TCP, um eine sichere Übertragung von Dateien zu gewährleisten.

Der Linux-Server muss über zusätzlichen Speicherplatz verfügen, um die während des Betriebs erfassten Daten zu speichern. Administratoren tendieren dazu, isolierte Dateisysteme zur Erweiterung ihrer Serverkapazitäten einzusetzen. Linux-Server sind normalerweise mit Remote-Servern verbunden, um Daten zu speichern und einen Teil des Dateisystems zu verwenden. Auf ferne Dateisysteme wird über Netzwerke zugegriffen, und Systemadministratoren haben ähnliche Erfahrungen, als ob die fernen Dateisysteme auf dem Linux-Server verschlüsselt wären. Die Übertragung von Daten zwischen Servern und isolierten Dateisystemen sollte ausreichend gesichert sein, um die übertragenen Daten nicht zu gefährden. Es wird empfohlen, dass Systemadministratoren das Secure Shell File System (SSHFS) verwenden, um die Verwendung isolierter Dateisysteme auf Linux-Servern zu verbessern. SSHFS verwendet die SSH-Verbindung für die sichere Übertragung von Daten in Netzwerken. Grundsätzlich verwendet SSHFS das SFTP-Protokoll, das die Dateiverwaltung, den sicheren Zugriff sowie die Datenübertragung auf isolierten Dateisystemen (Klein, 2005) verbessert.

Der Linux-Server kann nur effektiv geschützt werden, wenn der Administrator gut informiert ist. Dies kann dadurch erreicht werden, dass er über einen konsistenten Fluss zuverlässiger Informationen zu Sicherheitstrends verfügt, die die einschlägige Linux-Distribution sowie installierte Softwarepakete betreffen. Im Laufe der Zeit wurden zahlreiche Sicherheitslücken in Linux-Softwarepaketen gefunden, die von Angreifern bei der Beeinträchtigung von Servern ausgenutzt werden können. Angesichts von Mailinglisten, die Sicherheitsherausforderungen in Linux-Distributionsadministratoren bewältigen, kann durch zeitnahe Aktualisierung des Systems und Beseitigung von Sicherheitslücken schnell reagiert werden. Daher ist es wichtig, sichere Mailinglisten in Linux-Distributionen zu verwenden. Basierend auf gesammelten Informationen können Administratoren entscheiden, wann das System aktualisiert werden kann, sowie Softwarepakete, die auf den Servern eingesetzt werden können.

Der Yum-Paketmanager wurde für apt get- oder Red Hat-Distributionen empfohlen, da er die effiziente Installation sowie Aktualisierung von Softwarepaketen und zugehörigen Abhängigkeiten gewährleistet. Es verbessert auch das effektive Löschen von Softwarepaketen. Paketmanager neigen dazu, die digitale Signatur eines Pakets wiederholt zu überprüfen und die Installation zu vermeiden, wenn solche Pakete ungültige Signaturen aufweisen. Administratoren müssen die von Anbietern vorgeschlagenen Standard-Software-Repositorys verwenden. Softwarepakete könnten auch aus mehreren Repositorys abgerufen werden, dies erfordert jedoch zusätzliche Vorsichtsmaßnahmen. Es ist ratsam, dass Administratoren die neuen Versionen von Paketen überprüfen, bevor sie sie aktualisieren, um ihre Stabilität sowie mögliche Sicherheitsrisiken zu bewerten. Installationen sollten nur mit Software durchgeführt werden, die in offiziellen Repositories nicht vorhanden ist. Diese Pakete könnten auch von einer Reihe von Repositories bezogen werden, jedoch mit besonderer Sorgfalt. Inoffizielle Softwarepakete in einer Testumgebung sollten nicht auf Linux-Produktionsservern (Ko, 2011) installiert werden.

Es wird davon ausgegangen, dass das Aufzeichnen einer Liste der installierten Pakete sowie ihrer früheren Versionen die beste Vorgehensweise ist. Dies liegt daran, dass der Administrator auf die neuesten stabilen Versionen zugreifen kann. Wenn neue Pakete eine Bedrohung für die Stabilität des Servers darstellen, kann der Administrator die zuvor installierten Versionen beziehen und sie erneut installieren. Administratoren können das System so einstellen, dass Softwarepakete automatisch aktualisiert werden. Dies wird jedoch normalerweise nicht empfohlen. Die beste Vorgehensweise besteht darin, jede Aktualisierung der Pakete gegenseitig zu überprüfen.

Der Administrator kann die Paketmanager auch so zusammenstellen, dass er zeitweise Benachrichtigungen über E-Mails sendet, in denen er alle Pakete auflistet, die vom Server aktualisiert werden könnten. Nach einer Überprüfung dieser Pakete muss der Administrator eine Entscheidung über die separate Aktualisierung jedes Pakets treffen. Das unterbrochene Versenden von E-Mails über den Yum-Paketmanager kann in der Regel in der Konfigurationsdatei (Kruegel, 2003) konfiguriert werden. Es ist wichtig, den aktualisierten Yum-Dienst fortzusetzen, wenn Änderungen an der konfigurierten Datei vorgenommen werden. Administratoren, die Debian-Distributionen verwenden, werden bei der Installation sowie beim Einsatz des apticron-Softwarepakets empfohlen, um routinemäßige Überprüfungen bei der Aktualisierung von Paketen sowie E-Mail-Benachrichtigungen zu gewährleisten. In der Konfigurationsdatei für die apticron-Paketsoftware ist es ratsam, die E-Mail-Adresse einzugeben, an die die Benachrichtigung gesendet wird. Wenn der Administrator über ausreichende Erfahrung in der Definition der auf den Servern erforderlichen Pakete verfügt, wird die Entwicklung eines lokalen Repositorys in einem solchen Netzwerk als eine verfeinerte Praxis angesehen. Das Repository bekannter sowie stabiler Paketversionen könnte auf einem Linux-Server generiert werden, auf dem andere Netzwerkserver die Pakete abrufen könnten. Solche Lösungen erfordern eine detaillierte Überprüfung aller Pakete, bevor sie in einem lokalen Repository gespeichert werden.

Linux-Server tendieren dazu, Multitasking zu betreiben, indem sie mehrere Dienste in einer Instanz anbieten. Dies führt zu einer wirtschaftlichen Auslastung des Servers und zu einer optimalen Effizienz. Der Systemadministrator muss jedoch weiterhin die goldene Regel der Sicherheit einhalten. Dies stellt sicher, dass das System so sicher ist wie die hoch angesehenen Dienste darin. Die perfekte Lösung wird erreicht, wenn jeder Linux-Server den Endbenutzern nur einen Dienst anbietet (Lane, 2010).

Es gibt eine Reihe von Tools, die zur Erhöhung der Sicherheit eingesetzt werden können. Sie unterbinden den unberechtigten Zugriff auf böswillige Versuche sowie auf Dienste, die den Linux-Server unterstützen könnten. Linux verfügt über mehrere inhärente Sicherheitstools, beispielsweise SELinux und Netfilter. Netfilter ist eine Funktion, die normalerweise Pakete von Netzwerken abfängt und auch verarbeitet. Dies ist in etwa allen Linux-Systemen zu finden, die 2.4 und höhere Kernel-Versionen haben.

Ein neuer Mechanismus zur Erkennung unbekannter Linux / IOS-Angriffe

Webbasierte Sicherheitslücken stellen einen erheblichen Teil der Sicherheitsrisiken von Computernetzwerken dar. Um die Erkennung bekannter Angriffe im Web zu gewährleisten, werden missbrauchte Erkennungssysteme in der Regel mit vielen Signaturen versehen. Es ist jedoch nicht einfach, mit der täglichen Offenlegung von Schwachstellen, die im Zusammenhang mit dem Internet stehen, Schritt zu halten. Abgesehen davon könnten Schwachstellen durch die Installation spezifizierter webbasierter Anwendungen eingeführt werden. Dies bedeutet, dass Missbrauchserkennungssysteme von Detektivanwendungen für Anomalien (Lee, 2000) unterstützt werden sollten.

In diesem Dokument wird ein Intrusion Detective-System vorgeschlagen, das bei der Erkennung von unbekannten Linux / IOS-Angriffen ein unterschiedliches Verfahren zur Erkennung von Anomalien verwendet. Dieses System neigt dazu, verschiedene Client-Abfragen zu bewerten, die eine Referenz für eine Reihe von Server-Programmen haben, und generiert Modelle für eine Vielzahl unterschiedlicher Merkmale für diese Fragen. Einige dieser Funktionen umfassen die dienstprogramme für die Beurteilung von Mustern sowie die Werte für jeden Parameter bei seinem Aufruf. Insbesondere die Verwendung von anwendungsspezifischen Attributen der aufgerufenen Parameter durchlässt das System, eine konzentrierte Bewertung vorzunehmen und eine minimierte Anzahl von Fehlalarmen zu erzeugen.

Dieses System leitet die mit Webanwendungen verknüpften Parameterprofile in der Regel automatisch ab, z. B. ihre Länge sowie ihre Struktur und die Zuordnung zwischen Abfragen. Dies bedeutet, dass es in verschiedenen anwendbaren Umgebungen eingesetzt werden kann, ohne dass zeitaufwändige Anpassungen oder Konfigurationen erforderlich sind. Die in diesem Dokument vorgestellte Anomalieerkennungsanwendung kann in Form von Eingabewebserver-Webdateien verwendet werden, die dem Common Log Format (CLF) entsprechen und für jede Webanforderung eine anomale Bewertung generieren (Liberty, 2002).

Genauer gesagt, die von diesem Tool verwendeten Bewertungsmethoden nutzen die spezifischen HTTP-Strukturabfragen mit Parametern. Solche Abfragenzugriffsmuster sowie deren Parameter werden tendenziell mit erstellten Profilen verglichen, die für das Programm oder ein beliebiges Programm relevant sind, auf das verwiesen werden kann. Diese Strategie neigt dazu, eine hoch konzentrierte Beurteilung zu ermöglichen, wenn es um die Erkennungsmethoden generischer Anomalien geht, die nicht bestimmte aufgerufene Programme berücksichtigen.

Die Erkennung von Anomalien hängt von den Modellen der vom Benutzer beabsichtigten Verhaltensweisen sowie von den Anwendungen ab und interpretiert Abweichungen vom normalen Verhalten in der Regel als Beweis für böswillige Aktivitäten. Es wird davon ausgegangen, dass sich die Angriffsmuster tendenziell vom normalen Verhalten unterscheiden. Die Erkennung von Anomalien setzt voraus, dass die Disparität sowohl quantitativ als auch qualitativ ausgedrückt werden kann. Die vorgeschlagene Erkennungsstrategie wertet HTTP-Anforderungen auf dieselbe Weise aus, wie sie von den meisten normalen Webservern protokolliert werden. Die Bewertung konzentriert sich auf Anforderungen, die Parameter verwenden, die Werte an aktive Dokumente übergeben. Darüber hinaus besteht die Eingabe des Erkennungsprozesses aus einer Reihe von URIs, die in der Reihenfolge U = {u1, u2,. . . , um} und aus effektiven GET-Anforderungen extrahiert; Ihre Rückgabewerte sind in der Regel gleich oder größer als 200, sollten aber kleiner als 300 sein (Liljenstam, 2003).

Der URI ui wird aus Elementen des gewünschten Ressourcenpfads, einer alternativen Komponente von Pfadinformationen (pinfoi) sowie einer alternativen Abfragezeichenfolge (q) ausgedrückt. Die Abfragezeichenfolge wird verwendet, um Parameter an referenzierte Ressourcen zu übergeben, auf die durch führende ''? '' - Zeichen hingewiesen wird. Eine Abfragezeichenfolge besteht aus geordneten Listen von n Attributpaaren neben ihren analogen Werten. In diesem Fall ist q = (a1, v1), (a2, v2),. (an, vn) wobei ai 2 A eine Menge von Attributen ist, während vi eine Zeichenfolge ist.

Das Bewertungsverfahren konzentriert sich auf die Beziehung zwischen Werten, Programmen und Parametern. URIs, denen Abfragezeichenfolgen fehlen, werden als irrelevant betrachtet und daher aus U entfernt. Neben den URIs gibt es die Aufteilung von U in Ur-Teilmengen. Folglich sind alle referenzierten Programme r entsprechenden Abfragen Ur zugeordnet. Der Prozess der Anomalieerkennung verwendet mehrere unterschiedliche Modelle in einer Reihe verschiedener Modelle, um auf anomale Einträge hinzuweisen. Man kann sagen, dass ein Modell eine Reihe von Mechanismen ist, die bei der Bewertung bestimmter Abfragefunktionen eingesetzt werden. Diese Funktion kann einzelnen Abfragezeichen zugeordnet werden (Lindqvist, 2001).

In Anbetracht der approximierten Abfrage-Feature-Verteilung der Länge mit den Parametern l und r2 ist es an der Erkennungsphase, eine Parameteranomalie mit der Länge l zu bewerten. Dies geschieht durch Berechnung der Länge l Abstand von u zum Mittelwert der Längenverteilung. Dies kann durch die Chebyshev-Ungleichung ausgedrückt werden. Nur Zeichenfolgen, deren Länge u überschreitet, werden als böswillig eingestuft. Dies spiegelt sich in der Wahrscheinlichkeitsberechnung wider, da die obere Grenze des Strings länger ist als der Mittelwert und somit relevant. Die Kategorisierung von Intrusion Detection-Strategien in missbräuchliche und anomaliebasierte Strategien ist in Bezug auf die spezifische Methode zur Attributierung böswilliger oder gewöhnlicher Angriffe rechtwinklig. In einigen Fällen werden Signaturen in der Spezifikation des projizierten Benutzerverhaltens verwendet (Mahoney, 2002).

Fazit

Unbekannte Linux / IOS-Angriffe müssen mithilfe von Tools und Techniken behandelt werden, die die Präzision der signaturbasierten Enthüllung mit einem anomaliebasierten System zur Erkennung der Intrusion-Flexibilität umfassen. In diesem Artikel wurde eine neuartige Strategie zur Erkennung von Anomalien bei unbekannten Linux / IOS-Angriffen vorgeschlagen. Als Eingabe werden HTTP-Abfragen verwendet, die aus Parametern bestehen. Es ist das Pionier-Erkennungssystem für Anomalien, das zur Erkennung unbekannter Linux / IOS-Angriffe modifiziert wurde. Es nutzt anwendungsspezifische Korrelationen zwischen Linux-Serverprogrammen und Parametern, die bei deren Aufruf verwendet werden. Idealerweise erfordert diese Anwendung keine Installation bestimmter Konfigurationen. Es lernt auch seine Abfrageattribute aus dem Training von Daten. Der Grad der Empfindlichkeit gegenüber anomalen Daten kann jedoch über Schwellenwerte konfiguriert werden, die verschiedenen Standortrichtlinien entsprechen.

Referenzen

Almgren, MH Debar, M. Dacier (2000), Ein einfaches Tool zum Erkennen von Webserver-Angriffen in: Verfahren des ISOC-Symposiums zur Sicherheit von Netzwerken und verteilten Systemen, San Diego, CA ,.

Denning DE, (2012), Ein Intrusion Detection-Modell, IEEE-Transaktionen für 13 (2) Software Engineering 222 – 232.

Feng, HJ Giffin, Y. Huang, Jha, W. Lee, B. Miller, (2004). Sensibilisierung in der statischen Analyse zur Erkennung von Eindringlingen, in: Verfahren des IEEE-Symposiums zu Sicherheit und Datenschutz, Oakland, CA ,.

Forrest, S. (2010), Selbstbewusstsein für UNIX-Prozesse, in: Verfahren des IEEE-Symposiums zu Sicherheit und Datenschutz, Oakland, CA, S. 120 – 128.

Ghosh, AKJ Wanken, F. Charron (2007), Anomale und unbekannte Eindringlinge gegen Programme erkennen, in: Proceedings of the Annual Computer SecurityApplication Conference (ACSAC_98), Scottsdale, , pp. 259 – 267.

Ilgun, RA Kemmerer, PA Porras, K. (2011) Zustandsübergangsanalyse: ein regelbasiertes System zur Erkennung von Eindringlingen IEEE-Transaktionen zum Software-Engineering 21 (3) 181 – 199.

Javitz, A. Valdes HS, (2010), Der SRI IDES-Detektor für statistische Anomalien, in: Verfahren des IEEE-Symposiums über Sicherheit und Privatsphäre, Oakland, CA ,.

Klein D., (2005), Verteidigung gegen den wilysurfer: Webbasierte Angriffe und Abwehrmechanismen in: Verfahren des USENIX-Workshops zu Intrusion Detection und Netzwerküberwachung, Santa Clara, CA ,.

Ko, CM Ruschitzka, K. Levitt (2011), Ausführungsüberwachung sicherheitskritischer Programme in verteilten Systemen: ein spezifikationsbasierter Ansatz in: Verfahren des IEEE-Symposiums für Sicherheit und Datenschutz, Oakland, CA, S. 175 – 187.

Kruegel, CD Mutz, WK Robertson, F. Valeur, (2003), Bayesianische Ereignisklassifizierung für die Erkennung von Eindringlingen in: Proceedings der Annual Computer SecurityApplicatio ns Conference (ACSAC 2003), Las Vegas, NV ,.

Lane, TCE Brodley, (2010), Zeitliches Sequenzlernen und Datenreduktion für die Anomalieerkennung, in: Verfahren der ACM-Konferenz über Computer- und Kommunikationssicherheit, San Francisco, Kalifornien, ACM Press, New York, S. 150 – 158.

Lee, WS Stolfo (2000), Ein Framework zum Erstellen von Features und Modellen für Einbruchsicherungssysteme, ACM Transactions on Information und Systemsicherheit 3 (4) 227-261.

Freiheit, DJ Hurwitz, (2002), Programmierung von ASP.NET, O_Reilly, Sebastopol, CA.

Dr. med. Liljenstam Nicol, V. Berk, R. Gray (2003), Simulation des realistischen Netzwerkwurmverkehrs für das Design und Testen von Wurmwarnsystemen in: Verfahren des ACM-Workshops zu Rapid Malcode, Washington, DC, S. 24 – 33.

Lindqvist, M. Almgren, U. (2001), Anwendungsintegrierte Datenerfassung für die Sicherheitsüberwachung, in: Verfahren zu den neuesten Fortschritten bei der Intrusion Detection (RAID), Davis, CA, Oktober 2001, LNCS, Springer, S. 22-36.

Mahoney, P. Chan, M. (2002), Erlernen nichtstationärer Modelle des normalen Netzwerkverkehrs zum Erkennen neuartiger Angriffe, in: Verfahren der 8th International Conference on Knowledge Discovery und Data Mining, Edmonton, Alberta, Kanada, S. 376-385.

Paxson, V. (2008), Bro: ein System zur Erkennung von Netzwerk-Eindringlingen in Echtzeit in: Verfahren des 7-ten USENIX-Sicherheitssymposiums, San Antonio, TX.

Anhänge:
Reichen Sie dasBeschreibungDateigröße
Diese Datei herunterladen (a_new_mechanism_to_detect_unknown_linux_IOS_attacks.pdf)Ein neuer Mechanismus zur Erkennung unbekannter Linux / IOS-AngriffeEin neuer Mechanismus zur Erkennung unbekannter Linux / IOS-Angriffe476 kB

Weitere Beispielschriften

Besondere Angebot!
Testen Sie mit COUPON: UREKA15 um 15.0% zu deaktivieren.

Alle neuen Bestellungen am:

Schreiben, umschreiben und bearbeiten

Bestellen Sie jetzt