减小字体
增大字体- ·上一篇文章:免费NIDS的构建与应用(2)
- ·下一篇文章:如何构建一个入门级入侵检测系统
免费NIDS的构建与应用(3)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
喜欢这些内容嘛,请告诉你身边的朋友,易下载中心-QQ资源-itnetcn.com一起享受这份乐趣,本站内容来源互联网
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
喜欢这些内容嘛,请告诉你身边的朋友,易下载中心-QQ资源-itnetcn.com一起享受这份乐趣,本站内容来源互联网
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
免费NIDS的构建与应用 本系统被部署在网络服务器所处的DMZ区,用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听,以保证NIDS自身的安全; 通过另一块网卡接入内网,并为其分配内网所使用的私有IP地址,以便从内网访问分析控制台程序ACID。通过启用Apache服务器的用户身份验证和访问控制机制,并结合SSL,保证系统的访问安全。 另外,部署NIDS的关键是应当保证系统的监听网卡所连接的设备端口能够“看到”受监控网段的全部网络流量。在共享式网络中,这不是问题,但在交换式网络中,由于交换机的每个端口拥有自己的冲突域,因此无法捕获除广播和组播之外的网络流量,这就要求交换机提供监控端口,本网络使用的是Cisco Catalyst系列交换机,其监控端口是通过端口的SPAN特性来实现的,用交换机管理软件启用该特性即可。 为了运行该系统,以超级用户身份执行下列命令: #/etc/init.d/mysql.server start #/usr/local/bin/snort -c /etc/snort.conf -l /var/log/snort -I elx0 -D #/usr/local/bin/apachectl sslstart 这样,NIDS已开始运行,然后在内网的管理PC机上启动浏览器,在地址栏中键入:https://192.168.1.8/acid-0.9.6b21/,其中192.168.1.8是为该NIDS内网网卡分配的IP地址。首次运行时,控制台会提示用户对入侵事件数据库进行扩展,按照提示扩展完毕后,控制台主界面出现。如图1所示。 图1 一天之内的报警频率 主界面里显示的信息包括:触发安全规则的网络流量中各种协议所占的比例、警报的数量、入侵主机和目标主机的IP地址及端口号等。ACID控制台还提供强大的搜索功能,用户可根据时间、IP地址、端口号、协议类型以及数据净荷(payload)等多种条件的灵活组合,在入侵事件数据库中进行查询,以帮助网管人员进行分析。 入侵特征库是否丰富对一个NIDS非常重要,本系统同时支持多种有影响的入侵特征库,包括CERT/CC、arachNIDS和CVE等。在警报中除了列出入侵事件的命名外,还有到相应入侵特征库的Web链接,如果某个警报存在多个命名,则同时予以列出,以便参考。网络管理人员可通过这些链接去查找在线入侵特征库,以便获得关于特定入侵事件更加详细的信息和相应的解决办法。 应用ACID提供的制图功能可以直观地对网络入侵事件进行分析,而生成的图表又可进一步丰富网管人员编制的报告。例如ACID分析控制台可以按用户指定的时间段生成入侵事件的频率图,如图2所示。 图2 一周报警频率 结束语 网络安全是一个复杂的问题,只依靠1~2种网络安全产品是不能解决问题的,必须综合应用多种安全技术,并将其功能有机地整合到一起,进而构成统一的网络安全基础设施。 对于一些企业用户来说,安全产品并不是非买不可,当前在互联网上以开放源代码为代表的免费资源非常多,这些企业应该努力开发与利用。也许有人会怀疑这种资源的可靠性,请不要忘记互联网的3大应用都在由开放源代码软件支撑着:互联网上超过半数的站点是在运行Apache; BIND完成着几乎全部的域名解析;说不定您的电子邮件正通过Sendmail程序在互联网上传递。 (完)
三、系统部署及运行 
-
