一、安装
概念
用snort软件打造入侵监测系统:
入侵监测系统和防火墙关系
- IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全;
- IDS实时检测可以及时发现一些防火墙没有发现的入侵行为,发行入侵行为的规律,这样防火墙就可以将这些规律加入规则之中,提高防火墙的防护力度。
- IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全;
- IDS实时检测可以及时发现一些防火墙没有发现的入侵行为,发行入侵行为的规律,这样防火墙就可以将这些规律加入规则之中,提高防火墙的防护力度。
3,构建入侵监测系统
升级系统
从源安装:
在安装snprt之前,我们需要先安装Libpcap 和 DAQ
某些 卡具有可能影响Snort的功能。其中两个特征被命名为“大”
接收卸载”(lro)和“通用接收卸载”(gro)。启用这些功能后, 络
卡在被内核处理之前执行数据包重组。
默认情况下,Snort将截断大于默认snaplen 1518字节的数据包。此外,LRO和
GRO可能会导致基于流目标的重新组装出现问题。我们建议您关闭LRO和
格罗。在linux系统上,您可以运行:
安装 DAQ
二、配置
现在需要修改一些配置文件,从snort.org中下载规则,对snort做测试运行
首先,我们需要升级共享库
要验证snort的安装,请使用以下命令:
要在CentOS上安全地运行Snort而无需root访问,我们应该创建一个新的非特权用户和一个新的守护程序的用户组
然后创建文件夹结构以保持Snort配置,使用下面的命令。如果你安装了
使用yum的Snort这些目录应该已经在安装时添加,请检查以确保。
创建新的文件:
从git下载Pulledpork 并下载
运行这些命令以更改snort.conf上的规则路径,并生成一些文件:
运行 Pulledpork:
要使Pulledpork自动运行,请访问https://snort.org/oinkcodes 阅读说明书。
例如:(确保使用他们的命令)
如下改变参数:
最后,通过以下命令测试snort配置文件:
这些规则对发送到$HOME_ NET的所有icmp消息发出警 (snort警 结构可在snort.org中找到)
四、作为守护进程运行snort
要在CentOS上作为服务在后台运行snort,您应该将以下脚本复制到/etc/init.d/
并将此脚本复制到该文件(替换接口名称):
如果我们使用systemctl status snortd.service,我们应该看到如下输出:
注释这些变量:
然后将rsyslog配置为将从snort接收到的日志存储到/var/log/alert.log:
为swatch的配置文件创建文件夹
作为守护进程运行并使用新的配置文件
for run in stratup make swatch.sh and copy upper command into it and append ;
举例说明:
配置elasticsearch
为Elasticsearch启用内存锁。这将禁用Elasticsearch的内存交换。
下载和配置Kibana:
我们将用nginx web服务器安装和配置Kibana。Kibana将在本地主机IP上侦听
地址和Nginx充当Kibana应用程序的反向代理。
配置nginx:
现在我们需要在conf.d目录中创建一个新的虚拟主机配置文件。创建新文件
带vi的“kibana.conf”
安装和配置日志存储:
运行 logstash
如果有多个传感器,则必须在每个传感器上安装filebeat并向主系统发送警 。
打开你的 站浏览器,输入你的ip地址去看Kibana:
在索引模式中搜索:snort-*
然后将索引添加到kibana。如果没有看到索引,请返回并检查堆栈的安装。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!