0x00、背景


黑客攻擊是不可避免的,常在江湖飄,哪有不被黑(誰也不敢說自己的網絡是絕對安全的)。被黑了怎么辦???肯定是第一時間修復漏洞和清除后門啦!該怎么修復漏洞了???漏洞又在那里了???這個時候研究IDS的人就出來:

IDS:全稱入侵檢測系統。專業上講IDS就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。

IPS:比IDS再高大上點的就是IPS,IPS全稱是入侵防御系統。IDS是發現并不做動作,IPS是在IDS發現了攻擊企圖或者行為后,采取動作。

0x01 Pfsense&Snorby簡介


pfSense是一個基于FressBSD,專為防火墻和路由器功能定制的開源版本。它被安裝在計算機上作為網絡中的防火墻和路由器存在,并以可靠性著稱,且提供往往只存在于昂貴商業防火墻才具有的特性(如vpen、IDS、IPS)。

Snorby是一個Ruby on Rails的Web應用程序,網絡安全監控與目前流行的入侵檢測系統(Snort的項目Suricata和Sagan)的接口。該項目的目標是創建一個免費的,開源和競爭力的網絡監控應用,為私人和企業使用。

0x02 Snorby的安裝部署


首先要設置安裝源(要使用epel源)

Snorby git官網https://github.com/Snorby/snorby

這里告訴你怎么安裝,我就不啰嗦了。

詳細安裝看這里:http://hi.baidu.com/huting/item/7a60eb725e66cb206e29f6b8

(只要安裝第一篇即可。)

在這里snorby只是對數據進行分析,并不抓取數據,抓取數據由pfsense里面的Suricata來抓取。抓取到的數據保存到snorby所在服務器的mysqld中,snorby通過調用本機mysql數據庫中的數據進行分析。

所以Snorby服務器只要放到pfsense可以訪問到的地方即可以了。

可以發到外網么???應該也可以的,這里就沒去試了。

安裝好后,如下:(默認用戶名:[email protected],密碼:snorby)

點擊上面Settings,下面有個時間設置(注意這個很重要,時間不對很麻煩的)

下面那個500000是一個很重要的參數。(這是一個峰值)

0x03 pfsense的部署與配置


Pfsense的安裝這里不介紹了,網上到處都是。

Pfsense是一款防火墻肯定是部署在網絡的邊界啦!這個也沒啥好說的。

A. 下載并安裝Suricata軟件包

System->Packages,如下圖:

注意:在做這之前要設置好dns,不然無法解析域名,你就無法下載了。

B.全局配置(Global Settings)

安裝完成后,在Services中找到Suricata,對其進行基本配置。

界面如下

我們首先在Global Settings(全局設置)進行基本設置,全局設置分為三部分。

1.規則的下載

應該是有四種選擇,第二和三是要code的。

不知道申請要不要錢,我這里就沒去試了。

2.是規則的更新設置

我這里設置的是一周一次。

3.一般設置

這里就有一個很關鍵的設置了。

Remove Blocked Hosts Interval 我這里設置的是15分鐘,默認是NEVER。

這個是什么意思了??其實這個涉及到后面要提到的IPS,當IPS發現威脅時候就會將目標添加到Blocked,在Blocked里面的ip地址將不允許通過防火墻。

我這里設置15分鐘,也就是15清除一次Blocked里面的ip地址。

C.其他設置

規則庫下載

上面已經設置好了,這里點擊Check,下載規則文件。

pass lists(這里就是一個白名單)

這里不多介紹,下面提到IPS在說這個。

0x04 Pfsense+Snorby==IDS&IPS


啟用IDS功能 Pfsense關鍵配置 添加監控網卡

這里我只有兩張網卡,我選擇的是WAN,外網口。(要勾選上面那個框框)

設置Iface Categories

這里,我是選擇所有,然后保存。(可以工具自己的需求選擇) 設置Iface Rules

這里選擇Auto-Flowbit Rules(自動轉發規則),然后應用。

設置iface Barnyard2(關鍵)

下面那個啟用mysql是關鍵,這里填寫Snorby服務器上的mysql的信息

(注意:mysql要開啟遠程訪問,上面的每頁做完一次配置,要save一次)

基本的IDS配置就完成了,如下圖。

點擊上面的紅叉叉即可以啟動。

啟動后的效果。

如果成功了的話,在snorby上面可以看到效果的,效果圖如下:

我來掃下看看效果,我用nmap輕輕的掃下

我在虛擬機里面弄的,那是相當的卡啊!!!!!!

牛逼吧!直接就看到了你是用nmap在掃描。

啟用IPS功能

在WAN Settings里面有一個Alert Settings,如下圖:

設置后選保存,然后重啟Suricata生效。

第二個勾很霸氣,發現某ip有危險,直接斷開所有與此ip的連接。

IPS這里重點提下白名單的設置

第一步、設置aliases

Firewall下面的Aliases(自己添加)

第二步、設置Pass Lists

Save,

在WAN Settings設置里面

點擊保存,重啟Suricata生效。

還有最后一個設置,就是被封的ip什么時候解封。

上面提過的Global Settings里面的General Settings。

這里設置的是15分鐘。

也就是15分鐘后,被封的ip自動解封。

說明:本文旨在拋磚引玉,大家大可以根據自己的需求自行配置。文章寫的不是很詳細,如果詳細寫,估計得20來頁。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞