压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　0×00 背景

　　不要抱有僥幸心理，其實有只眼睛一直在監視你的一舉一動。

　　黑客攻擊是不可避免的，常在江湖飄，哪有不被黑（誰也不敢說自己的網絡是絕對安全的）。被黑了怎么辦？肯定是第一時間修復漏洞和清除后門啦！該怎么修復漏洞了？漏洞又在那里了？這個時候研究IDS的人就出來了：

　　IDS：

　　全稱入侵檢測系統。專業上講IDS就是依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

　　IPS：

　　比IDS再高大上點的就是IPS，IPS全稱是入侵防御系統。IDS是發現并不做動作，IPS是在IDS發現了攻擊企圖或者行為后，采取動作。

　　用掃描器，掃過之后的圖。

　　0×01 Pfsense&Snorby簡介

　　pfSense是一個基于FressBSD，專為防火墻和路由器功能定制的開源版本。它被安裝在計算機上作為網絡中的防火墻和路由器存在，并以可靠性著稱，且提供往往只存在于昂貴商業防火墻才具有的特性(如vpen、IDS、IPS)。

　　Snorby是一個Ruby on Rails的Web應用程序，網絡安全監控與目前流行的入侵檢測系統（Snort的項目Suricata和Sagan）的接口。該項目的目標是創建一個免費的，開源和競爭力的網絡監控應用，為私人和企業使用。

　　0×02 Snorby的安裝部署

　　首先要設置安裝源（要使用epel源）

　　Snorby git官網：https：//github.com/Snorby/snorby

　　這里告訴你怎么安裝，我就不啰嗦了。

　　詳細安裝看這里：http：//hi.baidu.com/huting/item/7a60eb725e66cb206e29f6b8

　?。ㄖ灰惭b第一篇即可。）

　　在這里snorby只是對數據進行分析，并不抓取數據，抓取數據由pfsense里面的Suricata來抓取。抓取到的數據保存到snorby所在服務器的mysqld中，snorby通過調用本機mysql數據庫中的數據進行分析。

　　所以Snorby服務器只要放到pfsense可以訪問到的地方即可以了。

　　可以發到外網么？？？應該也可以的，這里就沒去試了。

　　安裝好后，如下：（默認用戶名：snorby@snorby.org，密碼：snorby）

　　點擊上面Settings，下面有個時間設置（注意這個很重要，時間不對很麻煩的）

　　下面那個500000是一個很重要的參數。（這是一個峰值）

　　0×03 pfsense的部署與配置

　　Pfsense的安裝這里不介紹了，網上到處都是。

　　Pfsense是一款防火墻肯定是部署在網絡的邊界啦！這個也沒啥好說的。

　　A、下載并安裝Suricata軟件包

　　System->Packages，如下圖：

　　注意：在做這之前要設置好dns，不然無法解析域名，你就無法下載了。

　　B、全局配置（Global Settings）

　　安裝完成后，在Services中找到Suricata，對其進行基本配置。

　　界面如下：

　　我們首先在Global Settings(全局設置)進行基本設置，全局設置分為三部分。

　　第一部分、規則的下載

　　應該是有四種選擇，第二和三是要code的。

　　不知道申請要不要錢，我這里就沒去試了。

　　第二部分、是規則的更新設置

　　我這里設置的是一周一次。

　　第三部分、一般設置

　　這里就有一個很關鍵的設置了。

　　Remove Blocked Hosts Interval  我這里設置的是15分鐘，默認是NEVER。

　　這個是什么意思了？？其實這個涉及到后面要提到的IPS，當IPS發現威脅時候就會將目標添加到Blocked，在Blocked里面的ip地址將不允許通過防火墻。

　　我這里設置15分鐘，也就是15清除一次Blocked里面的ip地址。

　　C、其他設置

　　規則庫下載

　　上面已經設置好了，這里點擊Check，下載規則文件。

　　pass lists（這里就是一個白名單）

　　這里不多介紹，下面提到IPS在說這個。

　　0×04 Pfsense+Snorby==IDS&IPS

　　啟用IDS功能

　　Pfsense關鍵配置

　　添加監控網卡

　　這里我只有兩張網卡，我選擇的是WAN，外網口。（要勾選上面那個框框）

　　設置Iface Categories

　　這里，我是選擇所有，然后保存。（可以工具自己的需求選擇）

　　設置Iface Rules

　　這里選擇Auto-Flowbit Rules(自動轉發規則)，然后應用。

　　設置iface Barnyard2(關鍵)

　　下面那個啟用mysql是關鍵，這里填寫Snorby服務器上的mysql的信息

　?。ㄗ⒁猓簃ysql要開啟遠程訪問，上面的每頁做完一次配置，要save一次）

　　基本的IDS配置就完成了，如下圖。

　　點擊上面的紅叉叉即可以啟動。

　　啟動后的效果。

　　如果成功了的話，在snorby上面可以看到效果的，效果圖如下：

　　我來掃下看看效果，我用nmap輕輕的掃下

　　我在虛擬機里面弄的，那是相當的卡?。。。。。。?/p>

　　牛逼吧！直接就看到了你是用nmap在掃描。

　　啟用IPS功能

　　在WAN Settings里面有一個Alert Settings，如下圖：

　　設置后選保存，然后重啟Suricata生效。

　　第二個勾很霸氣，發現某ip有危險，直接斷開所有與此ip的連接。

　　IPS這里重點提下白名單的設置

　　第一步、設置aliases

　　Firewall下面的Aliases(自己添加)

　　第二步、設置Pass Lists

　　Save，

　　在WAN Settings設置里面

　　點擊保存，重啟Suricata生效。

　　還有最后一個設置，就是被封的ip什么時候解封。

　　上面提過的Global Settings里面的General Settings。

　　這里設置的是15分鐘。

　　也就是15分鐘后，被封的ip自動解封。