网络入侵检测系统(IDS)的安装部署
实验简介
实验所属系列:入侵检测与入侵防御/防火墙技术
实验对象:本科/专科信息安全专业
相关课程及专业:信息网络安全概论、计算机网络技术
实验时数(学分):4学时
实验类别:实践实验类
实验目的
1)了解入侵检测系统的基本概念和工作原理。
2)掌握snort入侵检测系统的安装和使用方法。
预备知识
1)入侵检测系统
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
2)入侵检测系统的分类及部署
IDS是计算机或网络的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
3)不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
实验步骤一:安装snort入侵检测系统
1、登录ids系统
登录实验机后,打开桌面上的putty程序,输入10.1.1.106,再点击Open.。
输入用户名:root,密码:bjhit
2、安装LAMP环境
3、安装snort软件包
4、创建snortdb数据库
5、配置snort
检测snort.conf配置文件是否正常:
# snort -c /etc/snort/snort.conf
出现了小猪猪,就说明成功了,按Ctrl+C停止掉。
启动snort:
# service snort start
实验步骤二:安装、配置基本分析与安全引擎(BASE)
1、安装acidbase软件包
2、配置Apache文件
将acidbase的安装目录复制到/var/www目录中
# cp -r /usr/share/acidbase/ /var/www/
修改apache配置文件:(如下图)
vi /etc/apache2/sites-available/default
在文件底部</VirtualHost>一行之前加入acidbase相关内容(上图红框框部分)
配置好了后,需要重启apache2
# service apache2 restart
修改php.ini文件
vi /etc/php5/apache2/php.ini
将acidbase目录的权限设置为777
chmod 777 -R /var/www/*
3、配置BASE
将现有的配置文件改名,否则无法使用web界面配置base。
# mv /etc/acidbase/base_conf.php /etc/acidbase/base_conf.php-orig
还有软链接文件
#rm /var/www/acidbase/base_conf.php
现在通过浏览器打开 http://10.1.1.106/acidbase/
开始配置我们的基本安全分析引擎了。
打开上面的网址,出现了如下界面:
单击Continue按钮,进入Step1of5界面,
输入ADODB的路径“/usr/share/php/adodb”,单击提交按钮。
提醒:这里ADODB的路径,可以用如下命令去搜索
find / -name adodb
提交后,进入了Step 2 of 5界面,如下图所示:
设置用户名和密码
单击提交按钮,进入Step 4 of 5界面,如下图所示:
实验步骤三:使用基本安全分析引擎查看入侵日志
使用桌面上的nmap对ids主机进行端口扫描,
刷新浏览器页面,就可以看到“端口扫描通信”有数据了,点击进去可以查看详情。
答题