(一)實驗簡介
實驗所屬系列:入侵檢測與入侵防御/防火牆技術
實驗對象:本科/專科信息安全專業
相關課程及專業:信息網絡安全概論、計算機網絡技術
實驗時數(學分):4學時
實驗類別:實踐實驗類
(二)實驗目的
1)了解入侵檢測系統的基本概念和工作原理。
2)掌握snort入侵檢測系統的安裝和使用方法。
(三)預備知識
1)入侵檢測系統
入侵檢測系統(intrusion detection system,簡稱“IDS”)是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在於,IDS是一種積極主動的安全防護技術。
2)入侵檢測系統的分類及部署
IDS是計算機或網絡的監視系統,它通過實時監視系統,一旦發現異常情況就發出警告。IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類:根據信息來源可分為基於主機IDS和基於網絡的IDS,根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。
3)不同於防火牆,IDS入侵檢測系統是一個監聽設備,沒有跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署,唯一的要求是:IDS應當掛接在所有所關注流量都必須流經的鏈路上。
(四)實驗步驟
安裝snort入侵檢測系統
1、登錄ids系統
登錄實驗機后,打開桌面上的putty程序,輸入10.1.1.106,再點擊Open.。
輸入用戶名:root,密碼:bjhit
以下二三步已完成,不需操作
2、安裝LAMP環境(省略)
在putty里面輸入如下命令進行安裝
apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb
注意:因為下載時間太長,會耽誤過多的時間,所以提前已經安裝好了。
這里給mysql的root用戶,設置的密碼是123456。
3、安裝snort軟件包(已安裝)
#apt-get install snort-mysql
在安裝過程中會提示下圖所示信息。(這里是填寫監聽的網段)
4、創建snortdb數據庫
root@IDS:~# mysql -u root -p123456 #登錄mysql
進入數據庫后,創建一個數據庫命名為snortdb。
mysql> create database snortdb;
mysql> grant create, insert, select, update on snortdb.* to snort@localhost;
mysql> set password for snort@localhost=password('snortpassword');
創建一個數據庫用戶,用戶名為snort,密碼為snortpassword。
將snort-mysql自帶的軟件包中附帶的sql文件,導入到數據庫中。
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
# rm /etc/snort/db-pending-config
5、配置snort
配置好了數據庫后,需要配置Snort配置文件(/etc/snort/snort.conf),告訴snort以后
日志寫入到snortdb數據庫中。
# vi /etc/snort/snort.conf
找到文件中“var HOME_NET any”一行,將其修改為要監控的網絡段,
並啟用下面幾行,如下:
#var HOME_NET any
var HOME_NET 10.1.1.0/24
#
#var HOME_NET any
# Set up the external network addresses as well. A good start may be "any"
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
--------------------
# output database: log, mysql, user=root password=test dbname=db host=localhost
output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost
ESC退出,輸入:wq!保存
檢測snort.conf配置文件是否正常:
# snort -c /etc/snort/snort.conf
安裝、配置基本分析與安全引擎(BASE)
1、重新創建snort用戶
mysql -u root -p123456
mysql> grant create, insert, select, update on snortdb.* to snort@localhost;
mysql> set password for snort@localhost=password('snortpassword');
2、配置Apache文件
將acidbase的安裝目錄復制到/var/www目錄中
# cp -r /usr/share/acidbase/ /var/www/
修改apache配置文件:(如下圖)
vi /etc/apache2/sites-available/default
在文件底部</VirtualHost>一行之前加入acidbase相關內容
配置好了后,需要重啟apache2
# service apache2 restart
修改php.ini文件
vi /etc/php5/apache2/php.ini
將acidbase目錄的權限設置為777
chmod 777 -R /var/www/*
3、配置BASE
將現有的配置文件改名,否則無法使用web界面配置base。
# mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig
還有軟鏈接文件
#rm /var/www/acidbase/base_conf.php
現在通過瀏覽器打開 http://10.1.1.106/acidbase/
開始配置基本安全分析引擎了。
在數據庫中創建BASE用到的表。
如果出現:
Successfully created 'acid_ag'
Successfully created 'acid_ag_alert'
Successfully created 'acid_ip_cache'
Successfully created 'acid_event'
Successfully created 'base_roles'
Successfully INSERTED Admin role
Successfully INSERTED Authenticated User role
Successfully INSERTED Anonymous User role
Successfully INSERTED Alert Group Editor role
Successfully created 'base_users'
表示數據表創建成功,單擊Now continue to step 5,進入管理界面,如下圖:
使用基本安全分析引擎查看入侵日志
1、使用nmap對ids主機進行端口掃描
使用桌面上的nmap對ids主機進行端口掃描
刷新瀏覽器頁面,就可以看到“端口掃描通信”有數據了,點擊進去可以查看詳情。
