網絡入侵檢測系統

 

實驗簡介：

實驗所屬系列：入侵檢測與入侵防御/防火牆技術 

實驗目的:

1）了解入侵檢測系統的基本概念和工作原理。

2）掌握snort入侵檢測系統的安裝和使用方法

預備知識：

 

1）入侵檢測系統

 

      入侵檢測系統（intrusion detection system，簡稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。

 

2）入侵檢測系統的分類及部署

 

      IDS是計算機或網絡的監視系統，它通過實時監視系統，一旦發現異常情況就發出警告。IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類：根據信息來源可分為基於主機IDS和基於網絡的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。

 

3）不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。

實驗步驟一

安裝snort入侵檢測系統

1、登錄ids系統

      登錄實驗機后，打開桌面上的putty程序，輸入10.1.1.106，再點擊Open.。

      輸入用戶名：root，密碼：bjhit

 

 

 

 

 

2、安裝LAMP環境

      在putty里面輸入如下命令進行安裝

      apt-get install mysql-server libapache2-mod-php5 php5-mysql libphp-adodb

       系統已安裝完畢

3、安裝snort軟件包

      #apt-get install snort-mysql

 

 

 

 

 

4、創建snortdb數據庫

      root@IDS:~# mysql -u root -p123456 登錄mysql

 進入數據庫后，創建一個數據庫命名為snortdb。

   mysql> create database snortdb;

 mysql> grant create, insert, select, update on snortdb.* to snort@localhost;

  mysql> set password for snort@localhost=password('snortpassword');

      創建一個數據庫用戶，用戶名為snort，密碼為snortpassword。

 

 

 

 

      將snort-mysql自帶的軟件包中附帶的sql文件，導入到數據庫中。

      # cd /usr/share/doc/snort-mysql/

      # zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword

      # rm /etc/snort/db-pending-config

 

 

 

 

 

5、配置snort

 

      配置好了數據庫后，需要配置Snort配置文件（/etc/snort/snort.conf），告訴snort以后

      日志寫入到snortdb數據庫中。# vi /etc/snort/snort.conf

找到文件中“var HOME_NET any”一行，將其修改為要監控的網絡段，

 並啟用下面幾行，如下：#var HOME_NET any

                                            # var HOME_NET 10.1.1.

                                    #var HOME_NET any

                                           # Set up the external network addresses as well.  A good start may be "an

                                    #var EXTERNAL_NET any

                                           #var EXTERNAL_NET !$HOME_NET

                                  # output database: log, mysql, user=root password=test dbname=db host=localhost

                                    #output database: log, mysql, user=snort password=snortpassword dbname=snortdb host=localhost

 

 

 

   檢測snort.conf配置文件是否正常:

      # snort -c /etc/snort/snort.conf

 

 

按Ctrl+C停止掉。

      啟動snort：

      # service snort start

實驗步驟二

安裝、配置基本分析與安全引擎（BASE）

1、安裝acidbase軟件包（系統已經安裝）

 

2、配置Apache文件

 

      將acidbase的安裝目錄復制到/var/www目錄中

 

      # cp -r /usr/share/acidbase/ /var/www/

 

      修改apache配置文件

 

      vi /etc/apache2/sites-available/default

 

 

  在文件底部</VirtualHost>一行之前加入acidbase相關內容

 配置好了后，需要重啟apache2

      # service apache2 restart

      修改php.ini文件

      vi /etc/php5/apache2/php.ini

 

 

 

 3、配置BASE

      將現有的配置文件改名，否則無法使用web界面配置base。

      # mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig

      還有軟鏈接文件

      #rm /var/www/acidbase/base_conf.php

      現在通過瀏覽器打開 http://10.1.1.106/acidbase/

      開始配置我們的基本安全分析引擎了。

 

 

 單擊Continue按鈕，進入Step1of5界面

 

 

選擇的是簡體中文

      輸入ADODB的路徑“/usr/share/php/adodb”，單擊提交按鈕。

      提醒：這里ADODB的路徑，可以用如下命令去搜索

      find / -name adodb

      提交后，進入了Step 2 of 5界面，

 

 

 

輸入數據庫信息,Pick a Database type：MySQL，Database Name：snortdb，Database Host：127.0.0.1，Database User Name：snort，Database Password：snortpassword

      單擊下面的提交按鈕進入Step 3 of 5

 

 

 

單擊提交按鈕，進入Step 4 of 5界面，

 

 

 

單擊上圖紅框框部分，在數據庫中創建BASE用到的表。

      如果出現：

      Successfully created 'acid_ag'

      Successfully created 'acid_ag_alert'

      Successfully created 'acid_ip_cache'

      Successfully created 'acid_event'

      Successfully created 'base_roles'

      Successfully INSERTED Admin role

      Successfully INSERTED Authenticated User role

      Successfully INSERTED Anonymous User role

      Successfully INSERTED Alert Group Editor role

      Successfully created 'base_users'

      表示數據表創建成功，單擊Now continue to step 5，進入管理界面，

 

 

 實驗步驟三

使用基本安全分析引擎查看入侵日志

      1、使用nmap對ids主機進行端口掃描

      使用桌面上的nmap對ids主機進行端口掃描

      

 

  刷新瀏覽器頁面，就可以看到“端口掃描通信”有數據了，點擊進去可以查看詳情。