Top Ad unit 728 × 90

Home HACKING LINUX Kỹ thuật phòng chống xâm nhập (IDS / IPS)

Kỹ thuật phòng chống xâm nhập (IDS / IPS)



Như chúng ta biết, ai trong chúng ta có thể là mục tiêu của một cuộc tấn công không gian mạng. Một số các CEO tin rằng bất cứ ai sẽ quan tâm đến công ty của bạn bởi vì nó là ít được biết đến hoặc quá nhỏ.Điều đó là hoàn toàn sai.
Các hệ thống thông tin của doanh nghiệp phải được bảo vệ ở tất cả các cấp, không chỉ đơn giản là cài đặt một trình antivirus.
Như tiêu đề cho biết, hôm nay tôi sẽ làm cho một giới thiệu về hệ thống phòng chống xâm nhập kỹ thuật và định mức mạng.

IDS và IPS

IDS là gì?

ids
Chúng tôi nói chuyện với hệ thống phát hiện (Intrusion Detection Hệ thống Intrution bằng tiếng Anh) để tham chiếu đến cơ chế để phát hiện tấn công hoặc hoạt động đáng ngờ.
Có 2 loại IDS.
NIDS (Hệ thống phát hiện Network-Based Intrution), rằng hoạt động của mạng lưới giám sát.
HIDS (Hệ thống phát hiện Host-Based Intrution), chúng sẽ theo dõi các activad hệ thống.

NIDS

Họ làm việc như sau.
Đầu tiên, lưu lượng mạng được chụp bởi pcap (capture gói).
Sau đó lọc các gói tin bị bắt để tinh chỉnh tìm kiếm. Sau đó, một phân tích của công ty, với những hạn chế tương tự mà có antitivirus, tức là với các khó khăn tương tự cho Avs khi 0days phát hiện xảy ra.
Cuối cùng, cảnh báo được quản lý và bản ghi alamacenadas trong các tập tin chuẩn.

HIDS

Các hoạt động giám sát HIDS của người sử dụng, các quy trình, các lệnh được sử dụng, ngày của người dùng kết nối và nhiều hơn nữa.
Ngoài ra còn có IDS lai, mà đóng vai trò của HIDS và NIDS.
Một IDS lai là thuận tiện để phân tích những gì chúng ta gọi là "tương quan", tức là mối liên hệ giữa các sự kiện khác nhau. Ví dụ, nếu một lỗi 404 http được tạo ra, nó sẽ không thể nghi ngờ. Nhưng trong khi các yêu cầu khác tạo ra lỗi, nó có khả năng là website của chúng tôi này bị tấn công.

Cài đặt Snort

Snort là một trong những IDS hiệu quả nhất, và nó hoàn toàn miễn :)phí.
Trong hướng dẫn này, tôi sẽ sử dụng phiên bản 2.9.8.0 và sẽ cài đặt trên máy tính với Ubuntu 15.10.Nhưng đừng lo lắng, bởi vì nó hoạt động tương tự như trong các phiên bản trước đó.
Điều đầu tiên cần làm là cài đặt các yêu cầu:
sudo apt-get install build-essential-và libpcap-dev-dev libpcre3 libdumbnet bison flex-dev zlib1g-dev
Chúng tôi sẽ tạo ra một thư mục trong đó dỡ bỏ snort.
mkdir ~ / snort
cd ~ / snort
Trước khi cài đặt snort, chúng ta phải cài đặt DAQ (Data Acquisition thư viện)
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
DAQ-2.0.6.tar.gz tar -xvzf
DAQ-2.0.6 cd
./configure
làm
sudo make install

NB: Bạn phải tải phiên bản mới nhất, trong trường hợp của tôi là 2.0.6
Bây giờ chúng ta có thể cài đặt snort.
wget https://www.snort.org/downloads/snort/snort-2.9.7.6.tar.gz
snort-tar -xvzf 2.9.8.0.tar.gz
cd snort-2.9.8.0
./configure --enable-Sourcefire
làm
sudo make install

NB: Bạn phải tải phiên bản mới nhất, trong trường hợp của tôi là 2.9.8.0
Một khi bạn đã cài đặt một cái khịt mũi, liên lạc và cập nhật các thư viện chia sẻ liên kết tượng trưng.
sudo ldconfig
s / sudo ln usr / local / bin / snort / usr / sbin / snort
Để sử dụng snort trong chế độ IDS, chúng tôi sẽ tạo ra một tài khoản đặc biệt, sao chép các tập tin cấu hình và cung cấp cho họ các quyền cần thiết.
sudo groupadd snort
sudo useradd snort -r -s / sbin / nologin -g snort -c SNORT_IDS
sudo mkdir / etc / snort
sudo mkdir / etc / snort / rules
sudo mkdir / etc / snort / preproc_rules
sudo touch /etc/snort/rules/local.rules /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
sudo mkdir / var / log / snort
sudo mkdir / usr / local / lib / snort_dynamicrules
sudo chmod -R 5775 / etc / snort
sudo chmod -R 5775 / var / log / snort
sudo chmod -R 5775 / usr / local / lib / snort_dynamicrules
snort sudo chown -R: snort / etc / snort
snort sudo chown -R: snort / var / log / snort
snort sudo chown -R: snort / usr / local / lib / snort_dynamicrules
sudo cp ~ / snort / snort-2.9.8.0 / etc / * conf. * / etc / snort
sudo cp ~ / snort / snort-2.9.8.0 / etc / * bản đồ. / etc / snort
Trước khi chạy snort, hãy chỉnh sửa các tập tin cấu hình.
sudo gedit /etc/snort/snort.conf
ipvar HOME_NET 192.168.1.101/24 địa phương #Vuestra IP
ipvar EXTERNAL_NET $ HOME_NET
RULE_PATH var / etc / snort / rules
SO_RULE_PATH var / etc / snort / so_rules
PREPROC_RULE_PATH var / etc / snort / preproc_rules
WHITE_LIST_PATH var / etc / snort / rules
BLACK_LIST_PATH var / etc / snort / rules
Các quy định này sẽ được tải tự động nhờ Pulledpork do đó có thể phản ứng.
sudo -i sed 's / include $ RULE_PATH / # include $ RULE_PATH /' /etc/snort/snort.conf
Để thêm và thử nghiệm một quy luật, chúng ta sẽ nhận xét ra:
bao gồm $ RULE_PATH / local.rules
Bây giờ chúng ta hãy cấu hình thử nghiệm.
sudo snort -c -T /etc/snort/snort.conf
Nếu bạn đang làm tốt cho đến nay, bạn sẽ có tin nhắn này.
Snort xác nhận thành công các cấu hình!
Snort thoát
Chúng tôi sẽ thêm một quy tắc đơn giản trong file: /etc/snort/rules/local.rules.
icmp cảnh báo bất kỳ bất kỳ -> $ HOME_NET bất kỳ (msg: "test ICMP"; sid: 10.000.001; rev: 001;)
Thực snort:
sudo / usr / local / bin / console -A -q -u snort Snort snort -c -g -i wlan0 /etc/snort/snort.conf

NB: Trong khi sử dụng Ubuntu 15.10 có thể là giao diện mạng của bạn không phải là eth0 hoặc wlan0.
Và làm một ping đến một máy bên ngoài để xem các cảnh báo. Ví dụ: ping example.com
10 / 31-02: 27: 19,663643 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 19,663675 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 20,658378 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 20,658404 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 21,766521 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 21,766551 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 22,766167 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
10 / 31-02: 27: 22,766197 [**] [1: 10.000.001: 1] ICMP test [**] [Ưu tiên: 0]} {ICMP 93.184.216.34 - 192.168.1.101>
Từ đây, chúng ta chỉ có thể tạo ra các quy tắc riêng của chúng tôi hoặc tải trực tiếp tại đây.

IPS là gì?

ips1
Các IPS chức năng tương tự như IDS, nhưng hành động chống lại các hoạt động độc hại hoặc các chương trình phát hiện.
Chúng tôi không còn nói chuyện của NIDS và HIDS, nhưng NIPS và HIPS.
Một NIPS có thể bỏ hoặc hủy bỏ một kết nối TCP đáng ngờ, và có thể kết thúc một quá trình HIPS hoặc đăng bỏ một chương trình đáng ngờ.
Chúng tôi cũng có thể sử dụng snort như IPS nhờ cắm Snortsam.
fail2ban là một trong những IPS nổi tiếng nhất, và để phân tích hệ thống các bản ghi tìm đủ lý do để có biện pháp đối phó.

Kỹ thuật phòng chống xâm nhập (IDS / IPS) Reviewed by Unknown on 05:27 Rating: 5

Tags :

About Sweetheme

Number of Entries : 35

We are Developers Team do our best to create beautiful work for our clients. Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industry's standard dummy text ever since the 1500s.

Không có nhận xét nào:

Đăng ký: Đăng Nhận xét (Atom)
All Rights Reserved by Star Phúc © 2014 - 2015
Powered By Blogger, Share by Star Tuan

Biểu mẫu liên hệ

Tên

Email *

Thông báo *

Hình ảnh chủ đề của Nikada. Được tạo bởi Blogger.