[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]
你可以轻松地设置一个专用的 Debian 系统作为独立的入侵检测系统,使用 snort 和一个基于 Web 的界面来分析入侵检测警报
安装一个基础 Debian 系统,并且不选择任何额外的软件包。
安装一个带有数据库支持的 Snort 版本,并将 IDS 配置为将警报记录到数据库中。
下载并安装 BASE (基本分析和安全引擎) 或 ACID (入侵数据库分析控制台)。将其配置为使用与 Snort 相同的数据库。
下载并安装必要的软件包[82]。
BASE 目前在 Debian 中以 acidbase 打包,ACID 则以 acidlab 打包[83]。两者都为 Snort 的输出提供了一个图形化的 WWW 界面。
除了基础安装之外,你还需要一个 Web 服务器(例如 apache)、一个 PHP 解释器和一个关系数据库(例如 postgresql 或 mysql),Snort 将在其中存储其警报。
这个系统应该至少设置两个接口:一个接口连接到管理 LAN(用于访问结果和维护系统),另一个接口没有 IP 地址,连接到被分析的网络段。你应该配置 Web 服务器仅监听连接到管理 LAN 的接口。
你应该在标准的 Debian /etc/network/interfaces 配置文件中配置这两个接口。一个接口(管理 LAN)的地址可以像往常一样配置。另一个接口需要配置为在系统启动时启动,但不带接口地址。你可以使用以下接口定义
auto eth0
iface eth0 inet manual
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off
down ifconfig $IFACE down
上面的配置将接口配置为以*隐身*类型的配置读取网络上的所有流量。这防止了 NIDS 系统在敌对网络中成为直接目标,因为传感器在网络上没有 IP 地址。但是请注意,NIDS 的传感器部件随着时间推移已知存在漏洞(例如,请参阅与 Snort 相关的 DSA-297),远程缓冲区溢出甚至可能由网络数据包处理触发。
你可能还想阅读 Snort Statistics HOWTO 和 Snort 官方网站 上提供的文档。
[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]
Debian 手册安全指南
版本:3.13,Sun,2012 年 4 月 8 日 02:48:09 +0000jfs@debian.org