入侵防御系统(IPS) 是入侵检测系统(IDS) 的增强版本,它不仅可以检测网络流量中的恶意活动,还可以自动采取措施阻止这些活动。实现IPS的主要工具包括Snort和Suricata。以下是使用Snort 和Suricata 实施IPS 的详细步骤。
使用Snort实现IPS
1. 安装Snort
首先,确保您的系统已更新。
须藤百胜更新-y
安装依赖项。
sudo yum install -y epel-release
sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump libdnet-devel libpcap-devel pcre-devel
下载并安装DAQ。
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
tar -xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure make sudo make install
光盘.
下载并安装Snort。
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
tar -xvzf snort-2.9.20.tar.gz
cd snort-2.9.20
./configure make sudo make install
光盘.
2. 配置Snort
创建必要的目录。
须藤mkdir /etc/snort
须藤mkdir /etc/snort/rules
须藤mkdir /var/log/snort
须藤mkdir /usr/local/lib/snort_dynamicrules
复制配置文件。
sudo cp etc/*.conf* /etc/snort/
sudo cp etc/*.map /etc/snort/
sudo cp etc/*.dtd /etc/snort/
编辑主配置文件/etc/snort/snort.conf,根据自己的网络环境和需求进行配置。
3. 下载规则集
下载并解压缩规则集(需要注册)。
wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz -O snortrules.tar.gz
tar -xvzf snortrules.tar.gz -C /etc/snort/rules
4. 启用IPS模式
在snort.conf 文件中,找到并配置:
# 配置网络接口
配置接口: eth0
# 设置IPS模式
配置策略模式: 内联
5. 运行Snort作为IPS
运行鼻息。
sudo snort -Q -c /etc/snort/snort.conf -i eth0
使用Suricata实现IPS
1. 安装Suricata
请确保您的系统已更新。
须藤百胜更新-y
安装EPEL 存储库和依赖项。
sudo yum install -y epel-release
须藤yum install -y suricata
2. 配置Suricata
编辑Suricata配置文件/etc/suricata/suricata.yaml,找到并配置以下内容:
af-数据包:
– 接口: eth0
螺纹: 4
集群ID: 99
集群类型: 集群流量
碎片整理: 是
使用-mmap: 是
戒指尺寸: 200000
块尺寸: 65536
缓冲区大小: 8388608
校验和检查: 否
确保IPS 模式已启用。
– 接口: eth0
复制iface: eth1
模式: af 数据包
集群ID: 99
集群类型: 集群流量
碎片整理: 是
使用-mmap: 是
戒指尺寸: 200000
块尺寸: 65536
缓冲区大小: 8388608
校验和检查: 否
3. 下载规则集
下载规则集。
wget https://rules.emergingthreats.net/open/suricata-5.0/emerging.rules.tar.gz
tar -xvzfnew.rules.tar.gz -C /etc/suricata/rules
4. 运行Suricata作为IPS
测试配置文件:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
开始苏里卡塔。
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 –af-packet
集中日志管理和监控
无论您使用哪种IPS工具,我们都建议使用集中式日志管理工具来收集和分析日志数据。例如,您可以使用ELK 堆栈(Elasticsearch、Logstash、Kibana)来集中管理和可视化您的日志数据。
1. 安装Elasticsearch
sudo yum install -y elasticsearch
sudo systemctl 启用elasticsearch
sudo systemctl 启动elasticsearch
2. 安装Logstash
sudo yum install -ylogstash
配置Logstash 以收集Snort 或Suricata 日志。
3. 安装Kibana
sudo yum install -y kibana
sudo systemctl 启用kibana
sudo systemctl 启动Kibana
配置Kibana 以使用Elasticsearch 可视化数据。
总结
通过安装和配置Snort 或Suricata 并将其与集中式日志管理和监控工具相结合,您可以有效地实施入侵防御系统(IPS),以保护您的系统和网络免受潜在威胁。为了确保IPS 的有效性,定期更新规则集和监控日志数据非常重要。
#防御系统以上关于如何搭建IPS的相关内容摘自互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93141.html