怎么做防御系统IPS

于 2024-07-05 13:51:59 发布
阅读量427 收藏 6
点赞数 8
文章标签: 运维 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyuhua_keyboard/article/details/140206717
版权

入侵防御系统(IPS)是入侵检测系统(IDS)的增强版本,它不仅检测网络流量中的恶意活动,还能自动采取措施阻止这些活动。实现IPS的主要工具包括Snort和Suricata。以下是使用Snort和Suricata来实现IPS的详细步骤。

使用Snort实现IPS

1. 安装Snort

首先,确保您的系统已更新:

sudo yum update -y

安装依赖:

sudo yum install -y epel-release
sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump libdnet-devel libpcap-devel pcre-devel

下载并安装DAQ:

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
tar -xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure && make && sudo make install
cd ..

下载并安装Snort:

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
tar -xvzf snort-2.9.20.tar.gz
cd snort-2.9.20
./configure && make && sudo make install
cd ..
2. 配置Snort

创建必要的目录:

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /var/log/snort
sudo mkdir /usr/local/lib/snort_dynamicrules

复制配置文件:

sudo cp etc/*.conf* /etc/snort/
sudo cp etc/*.map /etc/snort/
sudo cp etc/*.dtd /etc/snort/

编辑主配置文件 /etc/snort/snort.conf,根据网络环境和需求进行配置。

3. 下载规则集

下载并解压规则集(需要注册):

wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz -O snortrules.tar.gz
tar -xvzf snortrules.tar.gz -C /etc/snort/rules
4. 启用IPS模式

snort.conf 文件中,找到并配置如下内容:

# 设置网络接口
config interface: eth0

# 设置IPS模式
config policy_mode:inline
5. 运行Snort作为IPS

运行Snort:

sudo snort -Q -c /etc/snort/snort.conf -i eth0

使用Suricata实现IPS

1. 安装Suricata

确保您的系统已更新:

sudo yum update -y

安装EPEL仓库和依赖:

sudo yum install -y epel-release
sudo yum install -y suricata
2. 配置Suricata

编辑Suricata的配置文件 /etc/suricata/suricata.yaml,找到并配置如下内容:

af-packet:
  - interface: eth0
    threads: 4
    cluster-id: 99
    cluster-type: cluster_flow
    defrag: yes
    use-mmap: yes
    ring-size: 200000
    block-size: 65536
    buffer-size: 8388608
    checksum-checks: no

确保启用了IPS模式:

- interface: eth0
  copy-iface: eth1
  mode: af-packet
  cluster-id: 99
  cluster-type: cluster_flow
  defrag: yes
  use-mmap: yes
  ring-size: 200000
  block-size: 65536
  buffer-size: 8388608
  checksum-checks: no
3. 下载规则集

下载规则集:

wget https://rules.emergingthreats.net/open/suricata-5.0/emerging.rules.tar.gz
tar -xvzf emerging.rules.tar.gz -C /etc/suricata/rules
4. 运行Suricata作为IPS

测试配置文件:

sudo suricata -T -c /etc/suricata/suricata.yaml -v

启动Suricata:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0 --af-packet

集中日志管理和监控

无论使用哪种IPS工具,都建议使用集中日志管理工具来收集和分析日志数据。例如,您可以使用ELK Stack(Elasticsearch, Logstash, Kibana)来集中管理和可视化日志数据。

1. 安装Elasticsearch
sudo yum install -y elasticsearch
sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch
2. 安装Logstash
sudo yum install -y logstash

配置Logstash以收集Snort或Suricata日志。

3. 安装Kibana
sudo yum install -y kibana
sudo systemctl enable kibana
sudo systemctl start kibana

配置Kibana以可视化Elasticsearch中的数据。

总结

通过安装和配置Snort或Suricata,并结合集中日志管理和监控工具,您可以有效地实现入侵防御系统(IPS),保护系统和网络免受潜在的威胁。定期更新规则集和监控日志数据是确保IPS有效性的关键。

MonkeyKing.sun
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
snort 联动iptables 配置为IPS,NIDS
Geikon的博客
03-30 4066
一、环境准备 Ubuntu16.10,snort2.9.9,iptables1.6.0,daq-2.0.6二、snort安装 首先关掉网卡的“Large Receive Offload” (lro) and “Generic Receive Offload” (gro). 看snrot手册: Some network cards have features named “Large Rec
安全 | 开源入侵防御系统 Snort
DynmicResource的博客
06-16 3275
theme: orange 持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第21天,点击查看活动详情 ???? 个人主页:@青Cheng序员石头 Snort 概要 是世界上最重要的开源入侵防御系统 (IPS)。其由 Sourcefire 创始人、前首席技术官 Martin Roesch 创建,目前由Cisco开发和维护。 Snort 概要 Snort ...
Snort的安装——Fedora
RichardLuo
05-05 357
那么Snort的安装过程就到此为止了,后续Snort的使用与配置,会在后续的文章中提到。如果想要交流网安知识可以发送邮件到Richardminrui@gmail.com。或者加入我的Discord频道https://discord.gg/v2Q9WKKQ。../../Images/安全设备/SD-1.png。
Snort IPS入侵防御系统模式
我回来了,就要有回来的意义
03-29 1万+
snort 经常用作入侵检测系统(IDS),进一步可以配置为入侵防御系统IPS)。snort使用数据采集器(daq)监听防火墙数据包队列,配合snort规则动作drop、alert等处理数据包,防火墙在snort启动后添加链表队列。报文经过防火墙时,将交给snort来处理,触发入侵检测规则时立刻响应动作,屏蔽数据包。其实,入侵防御系统应该直连在网络环境当中,需要配置网桥。snort监听网桥的功能,防火墙更加要支持网桥,网桥也可以配置成透明的模式。这里只是简单的尝试snortIPS模式,配置在单机上,屏蔽
常见的IDS_IPS&防火墙&沙箱的规避方式
cike_y
08-01 1216
了解常见的防护软件或硬件的原理,以及绕过
计算机网络安全--snort介绍--linux下安装和使用
余的日常学习
03-07 4663
计算机网络安全--snort介绍、安装到使用、可能的问题
入侵防御系统 IPS
prettyX的博客
01-09 4317
入侵防御系统简介 Intrusion Prevention System:IPS 位于防火墙和网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)。 能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 防火墙可以拦截底层攻击行为,但对应用层的深层...
防火墙/入侵防护系统IPS
tigerman20201的博客
11-12 785
不断增加和黑客攻击数据的不断提高,使得传统的防火墙或入侵检测技术无法满足现代网络安全的需要,而入侵防护技术的产生正是适应了这种要求。 防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源,寻找违反安全策略我的行为或攻击迹象,并发出警报。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对很多入侵放过仍然无计可施。 IPS是一种主动的、积极的入侵防范及阻止系统,部署在网络的进出口处。当它检测到攻击企图后,会自动
2020入侵防御系统(IPS)TOP10
BinSTD的博客
01-14 1825
开发屋之前曾发布过一篇有关入侵检测的榜单文,如有需要可点击回看【2020入侵检测(IDS)品牌TOP10】。 今天我们来说说与入侵检测(IDS)概念相近的另一种网络安全措施,即入侵防御IPS),以及两者之间的根本区别(查看入侵检测IPS榜单可直接跳至文末)。 之前我们也说过,入侵检测(IDS)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 我们一个比喻——假如防火墙是一幢大厦的门锁,那么IDS就是
IDS-IPS入侵防御原理与实践
Goallegoal的博客
04-19 3500
IDS-IPS入侵防御原理与实践 概述 IDS,intrusion detection system,入侵检测系统IPS,intrusion prevention system,入侵防御系统; 网络安全系统中用于防御或者检测黑客攻击的产品。防火墙更多是在隔离,且在应用层面隔离效果一般,例如部署防火墙可以到控制某台设备是否可以访问百度,而至于能否控制其访问百度某个页面的某个模块,就需要入侵检...
IDS 和 IPS 的区别以及旁路阻断的插件使用
08-26
IPSflexresponse-eng.pdf 本文主要说明IDS和IPS作为入侵检测的区别,以及如何部署snort的旁路阻断插件,如何安装,如何配置configure文件,如何提高抓包速度等等
入侵检测IPS下载
09-27
入侵检测IPS下载,用于GNS3模拟器,模拟真实环境,可以连接PC机用。
Snort-IPS-IDS:包含所有带有“删除”规则的snort配置
05-16
Snort-IPS-IDS 包含所有带有“删除”规则的snort配置。
常见网络安全设备:IPS(入侵防御系统
qq_43416206的博客
06-12 1377
入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
毕业论文 入侵防御系统在企业网络中的应用
佐德将军的博客
03-23 1151
目录 1 绪论 1.1 课题研究背景 1.2 课题研究目的与意义 1.3 创新思路 1.4 论文组织结构 2 构建网络系统的相关技术 2.1 OSPF技术 2.1.1 OSPF的基本原理 2.1.2 OSPF的默认路由 2.2 使用VRRP来实现网关冗余 2.3 NAT的工作原理 2.4 入侵防御系统技术 3 关于入侵防御系统的需求分析 3.1 可用性需求分析 3.2 功能性需求分析 3.3 可行性需求分析 4 网络系统的设计 4.1 企业网络结构的概述 4.2 三层.
Snort IPS内联模式
有理论,有实验,有结论,可为一篇文章
01-18 2364
http://sublimerobots.com/2016/02/snort-ips-inline-mode-on-ubuntu/
「干货」Snort使用手册「详细版」
热门推荐
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
没人讲清楚!我来讲!---- Ubuntu 20.04中下载配置Snort3,参数讲解及实现协议警报
最新发布
weixin_45266856的博客
05-16 1981
Snort是一个功能强大的开源网络入侵检测和预防系统(IDS/IPS),由于1998年创建,现由Cisco旗下的Sourcefire进行维护和开发。Snort通过监控网络流量,根据预定义的规则检测并响应潜在的安全威胁。每次都去修改snort.lua文件太麻烦,如想要捕获别的类型数据包并输出警报,可以创建自定义规则以如下命令来讲解自定义规则的匹配参数,表示当匹配的任意端口向的任意端口发送UDP的数据包时,snort会发出警报rev:1;alert。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值