「IPSのSnortの+ガーディアン+ iptablesの上に構築されました」
2020年には、三日目に、いつものように、まだ「最近のプロジェクト以下の共有、記事を書い中小エンタープライズクラスのファイアウォールの展開のための」他の部分の後、「IPSのSnortの+ガーディアン+ iptablesの上に構築された後の全体のオープンソースプロジェクトを完了します、」アウト共有し、株式交換にみんなを歓迎
IPS
IPSについて
IPSは、英語で「侵入防止システム」の略語、中国の意味は「侵入防止システム」で、悪意のある、IDSの検知の監視に加えて、ネットワーク・セキュリティ・デバイスやソフトウェアアプリケーションですが、また、奥行き知覚テストデータトラフィックを持っていますパケットは、リアルタイムで警告や侵入防止システムをブロックし、廃棄されました。
機能コンポーネントをIPS
数据采集:采集和捕获流量数据
入侵检测:分析流量和日志数据,发现安全异常行为并发出警报,常见的有Snort、Suricata、Bro
结果展示:用于分析IDS警报并进行友好展示,常见的IDS警报分析工具有Snorby、Sguil、Base
安全防御:主动响应安全事件,阻断攻击者入侵行为,常用iptables
IDS
IDSできるだけ見つけ、特定のセキュリティポリシーに従って、ネットワークの健康のために、システムモニタ、英語の「侵入検知システム」の略語、中国の意味は「侵入検知システム」であるネットワークセキュリティデバイスやソフトウェアアプリケーションで、次のことができます攻撃の試み、攻撃的な行動や攻撃の結果を、問題のセキュリティ警告の様々な。
IDSの一般的なシステムモデル
(1)データコレクタ(また、検出器として知られている):データ収集のために主に責任を負います。入力データストリームは、検出器システムのデータは、ネットワーク・プロトコル・パケット、システムコール、ファイルシステムログレコードの種々のような任意の侵入手がかりを含んでもよい含みます。プローブデータが収集され、処理のために検出器に送られます。
(2)検出器(これも分析又は検出エンジンとして知られている):分析と侵入検出タスクの責任、およびアラームコントローラに信号を送ります。
(3)知識:データ検出器および制御器に必要なサポートを提供します。この情報には含まれていますので、上のユーザーの活動履歴ファイルや検出ルール・セットとを。
(4)コントローラ:検出器は侵入に応答する手動または自動アラーム信号から送られてきます。
IDSカテゴリ
IDSは、2つの方法に分類される:データ・ソースによれば、侵入検知戦略に従って。
データ分類の情報源によると、
基于网络的入侵检测系统(NIDS)
基于主机的入侵监测系统(HIDS)
分布式入侵检测系统(DIDS)
分類侵入検知戦略によると、
滥用检测
异常检测
完整性分析
ビルドへの環境
エンタープライズトポロジ
環境の準備
DMZ区:CentOS7 --- IP:192.168.9.100 Gateway:192.168.9.254
防火墙:kali --- ip1:211.67.93.254;ip2:192.168.9.254;ip3:192.168.33.254;
外网主机:win2003 --- IP:211.67.93.100 Gateway:211.67.93.254
内网主机:win2003 --- IP:192.168.33.100 Gateway:192.168.33.254
IDS Snortの
Snortのプロフィール
1998年に、マーティン・ローズチはC言語オープンソース(オープンソース)侵入検知システムSnortのを使用して開発しました。今日でも、Snortのは、マルチプラットフォーム(マルチプラットフォーム)、リアルタイム(実時間)トラフィック分析に強力なネットワーク侵入検知特性(ポケット)を開発しましたネットワーク侵入検知(IPパケット網/防止システムを記録/防御システム)、すなわちNIDS / NIPS。一般公衆利用許諾契約書(GPL - GNU一般恥毛ライセンス)に沿って、Snortのは 、 Snortが無料ダウンロードすることで、オンラインで得た、とだけインストールして使用を開始するまでに数分かかることができます。
スニファ、パケットのログ、ネットワーク侵入検知システム:Snortのは、3つの動作モードがあります。スニファモードは、連続ストリームとしてネットワークからパケットを読み取り、端末に表示されます。ハードディスクにデータパケットを記録するパケットの記録モード。ネットワーク侵入検知モードは最も複雑で、設定可能です。私たちは、Snortのユーザが定義したルールの数と一致するネットワーク・データ・ストリームを分析し、テスト結果に基づいて特定のアクションを取るようにすることができます。
Snortのインストール
マウントシステムカーリー
Snortのインストールは、一般に2つの方法でインストールソースコンパイラのインストールとパッケージマネージャを分割します。ソースコードは、より多くの使用に複雑になるのダウンロードが、文書は完了し、デバッグに便利;およびパッケージマネージャは、すべての問題を解決するためのコマンドをインストールするのは簡単です。
apt-get install snort
Snortの設定
セットルールのパス
設定ファイルを変更します。
/etc/snort/snort.conf
表示のルール
PS:デフォルトのLinuxは、Snortのログのパスをインストールした後などは、設定が良いです支障のデフォルト設定しません
Snortの起動
snort -i eth1 -c /etc/snort/snort.conf -A fast -l /var/log/snort
Snortのテスト
デフォルトのSnort ICMPのルールを確認
Webサーバーの外部ネットワークのping DMZエリアをテスト
ビューIDSのログ
分析は、ICMPによってSnortのを許可する、ログを見つけ、ICMPのデータを記録しました。
保護者
ガーディアンの連関効果は、Snortの+ iptablesの達成しました
ガーディアンダウンロード
ガーディアンはQuguanネットワークダウンロードが必要
http://www.chaotic.org/guardian/
ガーディアンのインストール
解凍後にダウンロード
tar -zxvf guardian-1.7.tar.gz
次の保護者の鼻息に移動&& &&ログのリストを作成します
→ Qftm ← :~/桌面# mv guardian-1.7 /etc/snort/
→ Qftm ← :~/桌面# touch /etc/snort/guardian-1.7/guardian.ignore 创建白名单
→ Qftm ← :~/桌面# touch /etc/snort/guardian-1.7/guardian.target 创建黑名单
→ Qftm ← :~/桌面# touch /var/log/snort/guardian.log guardian的日志
スクリプトブロックをコピーします。
→ Qftm ← :/etc/snort/guardian-1.7# cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
→ Qftm ← :/etc/snort/guardian-1.7# cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
この操作はguardian.pl満たすために提供される\(blockpathと\) unblockpathパス
PS:
(1)Guardian的执行文件 guardian.pl
(2)Guardian封锁IP所要调用的外部程序 scripts/iptalbes_block.sh
(3)Guardian解除对某一IP封锁时,所需要调用的外部程序scripts/iptalbes_unblock.sh
ガーディアンの設定
設定guardian.conf
Interface eth1
HostGatewayByte 1
LogFile /var/log/snort/guardian.log
AlertFile /var/log/snort/alert
IgnoreFile /etc/snort/guardian-1.7/guardian.ignore
TargetFile /etc/snort/guardian-1.7/guardian.target
TimeLimit 86400
PS:
TimeLimit:在多少秒后解除对IP的封锁,86400秒也就是24小时之后解除对IP的封锁。
AlertFile:警报信息,前提是snort以alert_fast输出报警信息
設定guardian_block.shルールとguardian_unblock.sh
ポリシーファイルの作成、外国の侵略とリリース戦略インターセプト設定
ガーディアン開始
→ Qftm ← :/etc/snort/guardian-1.7# perl guardian.pl -c guardian.conf
IPSテスト
外部ネットワークの攻撃者がWebサーバーを攻撃します
IPS検出&インターセプター
IPS検出
IPS傍受
以上のことから、外部の攻撃者は、IPSは、レコードへのアクセスを制限傍受しました