网络入侵检测系统(IDS)的安装部署
1)了解入侵检测系统的基本概念和工作原理。
2)掌握snort入侵检测系统的安装和使用方法。
1)入侵检测系统
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2)入侵检测系统的分类及部署
IDS是计算机或网络的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
3)不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
实验步骤一
安装snort入侵检测系统
1、登录ids系统
2、安装LAMP环境(省略)
3、安装snort软件包(已安装)
4、创建snortdb数据库
root@IDS:~# mysql -u root -p123456 #登录mysql
进入数据库后,创建一个数据库命名为snortdb。
mysql> create database snortdb;
mysql> grant create, insert, select, update on snortdb.* to snort@localhost;
mysql> set password for snort@localhost=password('snortpassword');
创建一个数据库用户,用户名为snort,密码为snortpassword。
将snort-mysql自带的软件包中附带的sql文件,导入到数据库中。
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql snortdb -u snort -psnortpassword
# rm /etc/snort/db-pending-config
5、配置snort
实验步骤二
安装、配置基本分析与安全引擎(BASE)
1、安装acidbase软件包(已安装)
2、配置Apache文件
3、配置BASE
将现有的配置文件改名,否则无法使用web界面配置base。
# mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig
还有软链接文件
#rm /var/www/acidbase/base_conf.php
现在通过浏览器打开 http://10.1.1.106/acidbase/
开始配置基本安全分析引擎了。
在数据库中创建BASE用到的表。
如果出现:
Successfully created 'acid_ag'
Successfully created 'acid_ag_alert'
Successfully created 'acid_ip_cache'
Successfully created 'acid_event'
Successfully created 'base_roles'
Successfully INSERTED Admin role
Successfully INSERTED Authenticated User role
Successfully INSERTED Anonymous User role
Successfully INSERTED Alert Group Editor role
Successfully created 'base_users'
表示数据表创建成功,单击Now continue to step 5,进入管理界面,如下图:
使用基本安全分析引擎查看入侵日志
1、使用nmap对ids主机进行端口扫描
使用桌面上的nmap对ids主机进行端口扫描
刷新浏览器页面,就可以看到“端口扫描通信”有数据了,点击进去可以查看详情。
浙公网安备 33010602011771号