「IntrusionDetectionSystem(IDS)-入侵侦测系统」,可用来.doc

Snort是一套免費的小型「Intrusion Detection System（IDS）－入侵偵測系統」，可用來偵測網路上的異常封包。它檢查所有的網路封包，並利用一些規則來判斷網路上是否有可能的入侵行為，而且這些偵測規則是使用開放的方式來發展的，所以你自己也可以加入偵測規則來加強入侵的偵測。 現在的Snort己經有能力判斷超過1100種入侵行為，但Snort是一種被動的安全措施，需要其它的plugin的安全措施配合。 此處所搭的plugin為snortsam及guardina，使用時，請自行選一種，而管理snort rule的軟體是使用IDS Policy Manager，為windows? 環境下的軟體。至於為何不用acid，因為要許多service配合，尤其是要啟動資料庫，太佔記憶體了，一般防火牆是不會使用的；除此之外，SnortSnarf是將snort產生的文字檔轉成網頁，比較方便流灠及參考。 下載 軟體名稱 下載點 snort-2.0.1.tar.gz /dl/ snortsam-src-2.21.tar.gz /download.html snortsam-patch.tar.gz IDSPolMan-1.3.build38.zip /dl/contrib/front_ends/ids_policy_manager/ guardian-1.6.tar.gz /dl/contrib/other_tools/guardian/ SnortSnarf-020316.1.tar.gz /dl/contrib/data_analysis/snortsnarf/ 說明及環境 IDSPolMan-1.3.build38.zip是在windows?環境使用，包括安裝及使用方式，在此不介紹了。 Snor一定要比snotrsam早解壓縮，因為snortsam稍後會使用snort的原始檔。 如果已經安裝snort，請務必重請將原始檔再一次解壓縮，並依後面的步驟重新再安裝一次。 壓縮檔放在 /root/tmp 中。 實際使用時，guardian及snortsam二者，請選擇其一。  安裝 snortsam－snort的plugin 安裝方式 說明 cd /root/tmp/ tar zxvf snort-2.0.1.tar.gz tar zxvf snortsam-src-2.21.tar.gz cd /root/tmp/snortsam chmod +x makesnortsam.sh ./makesnortsam.sh cp snortsam /usr/local/bin/ cd /root/tmp. tar zxvf snortsam-patch.tar.gz chmod +x patchsnort.sh ./patchsnort.sh /root/tmp/snort-2.0.1 /usr/local/bin/snortsam /etc/snortsam.conf /dev/null 21 變更目錄 解壓縮，請看 2.說明及環境的(2) 解壓縮 進入snortsam的目錄 變更makesnortsam.sh的權限 變更目錄 解壓縮 變更patchsnort.sh的權限Snortsam.conf的相關參數說明： accept：接受網域的packets，如 accept /24。 dontblock ：將不想被block的外來ip列出，即可排除在外，兩個以上的ip，需要一行一行列出。 logfile：登錄檔的位置，如logfile /var/log/snortsam.log。 loglevel：我是使用loglevel 2，當有問題或block的事件時，才記錄。 iptables：Linux中，我是使用iptables 做防火牆，所以選擇這個方式，如iptable eth0 ，這個不用我多解釋。當然還有很多選擇，如ipchains、watchguard等…等 snort 安裝方式 說明 cd /root/tmp/snort-2.0.1 ./configure make;make install cp /root/tmp/snort-2.0.1/etc/snort.conf /etc cp /root/tmp/snort-2.0.1/etc/*.config /etc mkdir /usr/local/bin/snort_rules cp /root/tmp/snort-1.91/rules/* /usr/local/bin/snort_rules vi /etc/snort.conf var HOME_NET /24 var RULE_PATH /usr/local/bin/snort_rules out