網絡入侵檢測系統（IDS）的安裝部署

入侵檢測系統

入侵檢測系統（intrusion detection system，簡稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。

IDS是計算機或網絡的監視系統，它通過實時監視系統，一旦發現異常情況就發出警告，與其他網絡安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類：根據信息來源可分為基於主機IDS和基於網絡的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上

 

本次實驗旨在了解入侵檢測系統的基本概念和工作原理，掌握snort入侵檢測系統的安裝和使用方法。

 

安裝snort入侵檢測系統

1、登錄ids系統

登錄實驗機后，打開桌面上的putty程序，輸入10.1.1.106，再點擊Open.。

輸入用戶名：root，密碼：bjhit

 

 

 

2、安裝LAMP環境（省略）

3、安裝snort軟件包(省略)

4、創建snortdb數據庫

 

登錄mysql：root@IDS:~# mysql -u root -p123456

進入數據庫后，創建一個數據庫命名為snortdb：mysql> create database snortdb;

 

 

創建一個數據庫用戶，用戶名為snort，密碼為snortpassword

mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

mysql> set password for snort@localhost=password('snortpassword');

 

 

將snort-mysql自帶的軟件包中附帶的sql文件，導入到數據庫中:

cd /usr/share/doc/snort-mysql/

zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

rm /etc/snort/db-pending-config

 

 

 

5、配置snort

配置好了數據庫后，需要配置Snort配置文件（/etc/snort/snort.conf），告訴snort以后日志寫入到snortdb數據庫中。

vi /etc/snort/snort.conf

找到文件中“var HOME_NET any”一行，將其修改為要監控的網絡段，

並啟用下面幾行，如下：

var HOME_NET any

var HOME_NET 10.1.1.0/24

#

#var HOME_NET any

# Set up the external network addresses as well.  A good start may be "any"

#var EXTERNAL_NET any

var EXTERNAL_NET !$HOME_NET

# output database: log, mysql, user=root password=test dbname=db host=localhost

output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost

 

 

修改完后，檢測snort.conf配置文件是否正常: snort -c /etc/snort/snort.conf

出現下圖所示的界面，就說明成功了，按Ctrl+C停止掉

 

 

 

啟動snort：

# service snort start

即可

 

安裝、配置基本分析與安全引擎（BASE）

1、安裝acidbase軟件包(省略)

2、配置Apache文件

將acidbase的安裝目錄復制到/var/www目錄中

# cp -r /usr/share/acidbase/ /var/www/

修改apache配置文件:

vi /etc/apache2/sites-available/default

在文件底部</VirtualHost>一行之前加入acidbase相關內容（下圖中的內容）

配置好了后，需要重啟apache2：service apache2 restart

修改php.ini文件：vi /etc/php5/apache2/php.ini

 

將acidbase目錄的權限設置為777：chmod 777 -R /var/www/*

 

3、配置BASE

將現有的配置文件改名，否則無法使用web界面配置base。

# mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig

 

還有軟鏈接文件

#rm /var/www/acidbase/base_conf.php

 

現在通過瀏覽器打開 http://10.1.1.106/acidbase/

開始配置我們的基本安全分析引擎了。

打開上面的網址，出現了如下界面:

 

 

單擊Continue按鈕，進入Step1of5界面，如下圖所示:

 

配置完語言后，輸入ADODB的路徑“/usr/share/php/adodb”，單擊提交按鈕。

（提醒：這里ADODB的路徑，可以用如下命令去搜索

find / -name adodb）

提交后，進入了Step 2 of 5界面，如下圖所示:

 

 

輸入數據庫信息，Pick a Database type：MySQL、Database Name：snortdb、Database Host：127.0.0.1、Database User Name：snort、Database Password：snortpassword

單擊下面的提交按鈕進入Step 3 of 5

 

設置用戶名和密碼

單擊提交按鈕，進入Step 4 of 5界面

點擊Create BASE AG,在數據庫中創建BASE用到的表,如果出現下圖中的提示則創建成功

 

 

單擊Now continue to step 5，進入管理界面

 

 

 

管理界面如下圖

 

 

 

 

使用基本安全分析引擎查看入侵日志

1、使用nmap對ids主機進行端口掃描

使用桌面上的nmap對ids主機進行端口掃描

 

點擊New Window,

 

 

 

設置Target為10.1.1.106，點擊Scan

刷新瀏覽器頁面，就可以看到“端口掃描通信”有數據了

點擊進去可以查看詳情

 

課后題