Linux平臺(tái)Snort入侵檢測(cè)系統(tǒng)實(shí)戰(zhàn)指南(1)

致電：15378720700   qq:916656313 河南億恩科技有限公司，專(zhuān)注IDC服務(wù)13年，華中地區(qū)最大IDC服務(wù)商。
新機(jī)房?jī)?yōu)惠活動(dòng)正在進(jìn)行中......期待您的加入。
 

我們都知道，企業(yè)的網(wǎng)絡(luò)目前威脅主要來(lái)自?xún)蓚�(gè)位置：一個(gè)是內(nèi)部，一個(gè)是外部。來(lái)自外部的威脅都能被防火墻所阻止，但內(nèi)部的攻擊都不好防范。因?yàn)楣�司�?nèi)部人員對(duì)系統(tǒng)了解很深且有合法訪問(wèn)權(quán)限，所以?xún)?nèi)部攻擊更容易成功。

IDS為信息提供保護(hù)，已經(jīng)成為深度防御策略中的重要部分。IDS與現(xiàn)實(shí)世界里的防竊報(bào)警裝置類(lèi)似，它們都對(duì)入侵進(jìn)行監(jiān)控，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，就向特定的當(dāng)事人發(fā)出警報(bào)。IDS分為兩類(lèi)：主機(jī)IDS(HIDS)和網(wǎng)絡(luò)IDS(NIDS)。HIDS安裝在受監(jiān)控主機(jī)上，擁有對(duì)敏感文件的訪問(wèn)特權(quán)。HIDS利用這一訪問(wèn)特權(quán)對(duì)異常行為進(jìn)行監(jiān)控。NIDS存在于網(wǎng)絡(luò)中，通過(guò)捕獲發(fā)往其他主機(jī)的流量來(lái)保護(hù)大量網(wǎng)絡(luò)設(shè)施。

HIDS和NIDS都有各自的優(yōu)點(diǎn)和缺點(diǎn)，完整的安全解決方案應(yīng)包括這兩種IDS，對(duì)于這一點(diǎn)比較難做到。不了解這一領(lǐng)域的人常常認(rèn)為IDS就像一把萬(wàn)能鑰匙，能解決所有安全問(wèn)題。例如有的單位花了大筆的錢(qián)購(gòu)置了商業(yè)IDS由于配置不當(dāng)反而搞得連連誤報(bào)，一下子就把數(shù)據(jù)庫(kù)塞滿了大量丟包進(jìn)而崩潰。這種態(tài)度使人們以為只要將IDS隨便安放在網(wǎng)絡(luò)中就萬(wàn)事大吉了，不必?fù)?dān)心任何問(wèn)題，實(shí)際上遠(yuǎn)非如此。沒(méi)有人會(huì)認(rèn)為Email服務(wù)器直接連在Internet上就能正確運(yùn)作。同樣，你也需要正確的計(jì)劃IDS策略，傳感器的放置。下文以開(kāi)源軟件Snort的安裝與維護(hù)為例，介紹正確地安裝和維護(hù)IDS的思路和方法。

安裝Snort

1、安裝準(zhǔn)備工作

我們?cè)诎惭b前我們要知道我們需要監(jiān)控的內(nèi)容，理想的狀況是對(duì)一切進(jìn)行監(jiān)控。所有網(wǎng)絡(luò)設(shè)備和任何從外部到企業(yè)的連接都處在Snort的監(jiān)視之下。盡管這一計(jì)劃對(duì)小公司只有幾十臺(tái)機(jī)器是很可能實(shí)現(xiàn)的，但是當(dāng)大型企業(yè)中連接上天臺(tái)網(wǎng)絡(luò)設(shè)備時(shí)，這成了難以施展的艱巨任務(wù)。

為了加強(qiáng)snort檢測(cè)的安全性，最好能為監(jiān)控網(wǎng)段提供獨(dú)立的智能交換機(jī)，如果你需要配置分布式的配置，可以吧服務(wù)器和控制臺(tái)接在一個(gè)交換機(jī)上，二其他傳感器放置在不同的物理位置，但這樣的成本會(huì)有所增加。Snort IDS的維護(hù)問(wèn)題是無(wú)法回避的。你遲早要對(duì)Snort特征更新并編寫(xiě)定制的規(guī)則，所以你還需要一個(gè)懂得維護(hù)IDS的專(zhuān)業(yè)人士。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]