Snort

20199111 2019-2020-2 《网络攻防实践》第六周作业 1.实践内容 1.1安全模型 静态安全模型：对网络进行风险分析，制定相应的安全策略，然后采取安全技术作为防护措施，主要针对固定、静态的威胁和环境弱点。 PDR安全模型：基于闭环控制理论的时间动态可适应网络安全模型，以经典的网络安全不等式P>D+R（保护、检测、响应）为本质基础，并提出安全性可量化和可计算的观点。 P2DR安全模型：基于PDR安全模型提出，增加了Policy分析制定安全策略，并以此为核心，所有的防护、检测、响应都是依据安全策略实施的。 1.2防火墙技术 防火墙指的是置于不同的网络安全域之间，对网络流量或访问行为实施访问控制的安全组件或设备，达到保护特定网络安全域免受非法访问和破坏的安全目标 Linux系统中提供了开源的netfilter/iptables解决方案，可以帮助网络管理员在自己的网络中快速实施防火墙边界保护。具体提供： 检查控制进出网络的网络流量 防止脆弱或不安全的协议和服务 防止内部网络信息的外泄 对网络存取和访问进行监控审计 防火墙可以强化网络安全策略并集成其他安全防御机制 netfilter/iptables工作原理： 在nefilter/iptables防火墙系统中，netfilter组件位于Linux的内核空间中，实现了静态包过滤和状态报文检查(即动态包过滤)基本防火墙功能

1 实践内容 桔皮书：可信任计算机系统评估准则。计算机系统安全评估的第一个正式标准。 ISO 15408（通用准则）是国际统一的安全评估标准。 P^2DR安全模型 安全策略 防护策略 检测 响应 安全策略是模型的核心，所有的防护、检测、响应都是根据安全策略实施的，安全策略为安全管理提供管理方向和支持手段，策略体系的建立包括安全策略的制定、评估、执行等。制定可行的安全策略取决于对网络信息系统及其安全风险的了解程度。 保护机制就是采用一切手段保护信息系统的机密性、完整性、可用性、真实性和不可抵赖性。应该根据不同等级的信息系统安全要求来完善系统的安全功能、安全机制。 检测机制是动态响应和加强防护的依据，是强制落实安全策略的工具。通过不断的检测和监控网络和系统，发现新的威胁和弱点，并通过循环反馈来及时作出有效响应。 在检测到安全漏洞和入侵事件之后，必须实时做出正确反应，从而把系统调整到安全状态，对于威胁及安全的事件行为过程及时作出处理。杜绝危害进一步扩大时，系统能够提供正常的服务。 2 实践过程 2.1 防火墙配置 实践任务: 配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙，完成如下功能，并进行测试: (1)过滤ICMP数据包，使得主机不接收Ping包; (2)只允许特定IP地址(如局域网中的Linux攻击机192.168.200.3)

20199122 2019-2020-2 《网络攻防实践》第六周作业 目录 20199122 2019-2020-2 《网络攻防实践》第六周作业 1.实践内容 1.1 安全模型 1.2 网络安全防范技术与系统 1.3 网络检测技术与系统 1.4 网络安全事件响应技术 2.实践过程 2.1防火墙的配置 2.2 实践：Snort 2.3 分析蜜网网关的防火墙和IDS/IPS配置规则 3.学习中遇到的问题及解决 4.实践总结 参考资料 1.实践内容 1.1 安全模型 动态可适安全模型基于闭环控制理论，典型模型是PDR模型和P 2 DR模型 PDR模型是基于时间的动态安全模型，如果信息系统的防御机制能够抵御入侵的时间P t ，能够超过检测机制发现的入侵时间D t 和响应机制有效应对入侵时间R t 之和，即P t >D t +R t ，则这个系统是安全的 P 2 DR模型：网络安全=安全策略（Policy）+防护策略（Protection）+实时检测（Detection）+实时响应（Response），其中安全策略是核心。 防护机制通常采用：防火墙、加密、身份认证和访问控制等。 检测技术：入侵检测和漏洞评估等。 响应措施：应急处理、备份恢复、灾难恢复等。 1.2 网络安全防范技术与系统 防火墙在网络协议栈的各个层次上实施网络访问控制机制，对网络流量和访问进行检查和控制

目录 一.概况 二、本周知识点总结 1.几种常用的安全模型（在网络安全与保密技术课上老师让整理过） 1.1.IATF 1.2.PPDR 1.3.OODA 2.防火墙技术 2.1.信息技术中防火墙的定义 2.2.防火墙分类 2.3.防火墙的功能 2.4.防火墙的缺陷 3.VPN技术 4.入侵检测技术与系统IDS 4.1.入侵检测的概念 4.2.入侵者分类 4.3.入侵检测系统的性能指标 4.4.入侵检测技术 5.入侵防御系统IPS 三、实践内容 1.防火墙配置 2.动手实践 snort 3.综合实践 分析蜜网网关的防火墙和IDS/IPS配置规则 四、疑难 一.概况 本次作业属于哪门课 网络攻防实践 作业要求 网络安全防护技术 收获 对于网络安全防护有了更深的认识，以前考计算机网络技术三级的时候书上介绍过一些防护措施，现在通过重复学习和动手实践更加深了记忆和知识点的掌握 二、本周知识点总结 1.几种常用的安全模型（在网络安全与保密技术课上老师让整理过） 1.1.IATF IATF 是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。 IATF规划的信息保障体系包含三个要素： 人

OSSIM架构与组成综述 OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持，就很难快速处理故障。市面上有很多运维监控工具，例如商业版的 Solarwinds、ManageEngine以及WhatsUp等，开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。 由于它们彼此之间所生成的数据没有关联，无法共享，即便部署了这些工具，很多运维人员并没有从中真正解脱出来，成千上万条警告信息堆积在一起，很难识别问题的根源，结果被海量日志所淹没，无法解脱出来。 另外在传统运维环境中，当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统，若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。企业需要一种集成安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，通过关联分析及时发现故障隐患，这种优秀的开源平台叫做OSSIM即开源安全信息管理系统(Open source Security Information Management)，下面让我们认识一下OSSIM的基本结构和组成 从架构上来看，OSSIM系统是一个开放的框架，它的核心价值在于创新的集成各开源软件之所长，它里面的模块既有C

一、实验目的及要求 1. 学习snort的工作模式 2．学习数据包记录模式的使用过程 3．对命令参数进行学习 二、实验设备（环境）及要求 PC机, VC++等,虚拟云平台 三、实验内容与步骤 1.嗅探器模式 （1）.在192.168.1.2的终端上输入“snort -v”，进行snort启动； （2）.分析snort启动信息； （3）.登录客户端192.168.1.3，输入“ping 192.168.1.2 –t”； （4）.打开192.168.1.2的终端，输入“snort -i eth0 -vde”； （5）.对数据包进行分析； 2.数据包记录器模式 （1）进入192.168.1.2服务器的/var/log/snort文件夹，并查看文件内容； （2）输入“rm –rf snort.log.*”，删除snort的snort文件 （3）输入”snort de –l /var/log/snort”,启动snort，记录详细信息到var/log/snort （4）登录客户端192.168.1.3，让它去ping192.168.1.2 （5）关闭snort，查看文件，发现已经产生log文件 （6）查看log文件（由于日志文件为acsii格式，所以cat命令无法查看） 四、实验结果与数据处理 1. 嗅探器模式： snort启动 2.snort启动信息分析 （1）运行模式 （2

官网： https://www.snort.org/ 官方文档： https://www.snort.org/documents 2.安装 2.1安装依赖 yum install flex bison -y yum install libpcap libpcap-devel zlib zlib-deve* -y yum install glibc-headers gcc-c++ make -y tar -zxf libdnet-1.11.tar.gz cd libdnet-1.11 ./configure && make && make installtar zxf pcre-8.39.tar.gz ./configure make && make install 如果不安装这些依赖，在后边执行configure时会有报错 2.2安装daq tar -zxf daq-2.0.6.tar.gz cd daq-2.0.6 ./configure make make install configure报错：configure: error: Your operating system's lex is insufficient to compile libsfbpf. You should install both bison and flex. 处理：yum install flex

snort 外网 | | 路由 | | 防火墙 | snort | web mail dns ftp IDS 入侵检测系统 snort 第一步:安装snort (以下步骤是在rhel6.5平台做的) # yum groupinstall "Development tools" -y # yum install pcre-devel zlib-devel # rpm -ivh libpcap-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm # rpm -ivh libpcap-devel-1.4.0-1.20130826git2dbcaa1.el6.x86_64.rpm # tar xf libdnet-1.11.tar.gz -C /usr/src/ # cd /usr/src/libdnet-1.11/ # ./configure --with-pic # make # make install # echo /usr/local/lib > /etc/ld.so.conf.d/snort.conf # ldconfig # tar xf daq-2.0.4.tar.gz -C /usr/src/ # cd /usr/src/daq-2.0.4/ # ./configure # make # make install # echo /usr

0.如果要输出到mysql，请安装barnyard2 在此之前，请启动并 配置mysql git clone https://github.com/firnsy/barnyard2 cd barnyard2 ./autogen.sh./configure --with-mysql-libraries=/usr/lib64/mysql make make install 1.配置snort.conf mkdir /etc/snort mkdir /usr/local/lib/snort_dynamicrules mkdir /var/log/snort 把安装文件etc目录的文件全部复制到/etc/snort里面，进入snort源码目录（sid-msg.map在规则包里面），然后 cp /etc/* /etc/snort/ 把rule文件拷贝至/etc/snort/下面 拷贝rules、so_rules、preproc_rules到/etc/snort/下 （或者下载snort规则直接解压到/etc/snort/） 进入snort源码目录的/so_rules/precompiled/RHEL-6-0/x86-64/2.9.6.2 cp * /usr/local/lib/snort_dynamicrules snort.conf分为9部分 1：Set the network