Vorherige Folge
In der vorherigen Folge Wir haben uns mit dem Konzept der Automatisierung der Erstellung von Netzwerkdatenprofilen befasst, das sich bei der Bewältigung komplizierter und unsicherer Szenarien als unschätzbar wertvoll erweist. Das sollte unserem System helfen, normalen Profilverkehr zur Identifizierung von Dateien zu erzeugengitImitieren Sie Benutzer und Anfragen. Wir müssen die Verwendung dieses Profils jedoch automatisieren, da in einer großen Netzwerkinfrastruktur die Möglichkeit, den Datenverkehr manuell zu steuern und zu filtern, recht gering ist. In dieser Anleitung betrachten wir die Installation des IPS/IDS-Systems: rapitäglicher Einsatz. Werfen wir einen Blick!
Software
Für unsere Zwecke werden wir eine recht beliebte und Open-Source-Lösung verwenden, die ein hohes Maß an Stabilität bei der Bereitstellung bietet. Durch die Prüfung wird das Vertrauen in die Sicherheit der Software gestärkt. Das Bundle aus Snort und Snorby stellt das Hauptmodul mit IDS/IPS und Web-Interface entsprechend der Reihenfolge dar. Durch die Einbindung von Snort in Ihre Bereitstellung profitieren Sie von dessen umfangreichen regelbasierten Erkennungsfunktionen. Snort untersucht den Netzwerkverkehr und vergleicht ihn mit einem vordefinierten Regelsatz, um potenzielle Sicherheitsbedrohungen wie Malware, Netzwerkangriffe oder Richtlinienverstöße zu identifizieren. Es kann verdächtige Aktivitäten aktiv blockieren oder warnen und bietet so eine zusätzliche Sicherheitsebene für Ihr System.
Installieren und nutzen
Schreiben Sie zu Beginn diesen Befehl, um den Index des Pakets zu aktualisieren:
sudo apt update –y && sudo apt upgrade –y
Alle Pakete und der Pfad zum Dienstprogramm werden aktualisiert. Achten Sie jedoch darauf, den Befehl für die Aktualisierung auszuwählen. Aus diesem Grund ist der Befehl weniger stabil als mehr StundenEs ist jedoch Ihre Entscheidung. Für die nächste Stufe installieren DockerWenn Sie dieses Dienstprogramm in zwei Worten beschreiben: kompilierte Anwendung. Sie müssen keine Repositorys mit veralteten Bibliotheken finden und den Pfad zum Verbinden verschiedener Module in Ihrem System manuell schreiben. RapiSchneller Einsatz und komfortable Nutzung:
sudo apt install docker.io
Überprüfen Sie anschließend, wie die Installation abgeschlossen ist und wie der Prozess mit dem folgenden Befehl gestartet wurde:
systemctl status docker
Unterhalb der zusammenfassenden Informationen sehen wir das Prozessprotokoll. Stellen Sie sicher, dass alle Pakete in Ordnung sind, wie im Bild oben! Als nächstes müssen wir uns anmelden Docker Repository und registrieren Sie sich auf der Website:
Geben Sie alle erforderlichen Anmeldeinformationen ein, bestätigen Sie Ihre E-Mail-Adresse und melden Sie sich dann mit dem folgenden Befehl am Server an:
docker login
Wenn Sie das Passwort eingeben, werden Ihnen außer der Anmeldung keine Daten angezeigt. Jetzt können wir mit dem Ziehen oder Herunterladen beginnen Docker Container. Der Prozess ist ziemlich einfach. Geben Sie den folgenden Befehl ein:
docker pull ciscotalos/snort3
docker pull polinux/snorby
Damit das System jedoch normal funktioniert, benötigen wir auch eine Datenbank, die Informationen für unser System POST und GET. Lass uns installieren:
docker pull million12/mariadbdocker run \
-d \
--name snorby-db \
-p 3306:3306 \
--env="MARIADB_USER=admin" \
--env="MARIADB_PASS=admin" \
million12/mariadb
Geben Sie in der Zeile Benutzer-Login und Passwort ein, geben Sie Ihre Anmeldeinformationen ein und speichern Sie es im sicheren Ordner! Führen Sie dann den Container mit dem Hauptmodul aus:
docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bashdocker run \
-d \
--name snorby \
-p 3000:3000 \
--env="DB_ADDRESS=localhost:3306" \
--env="DB_USER=admin" \
--env="DB_PASS=admin" \
polinux/snorbyNachdem wir diese Komponente ausgeführt haben, verursachen wir CLI Version:
docker exec -it snort3 bash
Danach sehen Sie die Bash-Shell, die Sie zum Konfigurieren von IDS/IPS verwenden können. Sie müssen das normale Verkehrsprofil verwenden, das wir für sieben Tage erstellen und pa festlegenrameters gemäß ihnen oder Sie können Beispiele für Sicherheit verwenden. Für die Bash-Shell des Containers müssen Sie Folgendes eingeben:
exitDann müssen wir die grafische Shell installieren, um Snorby verwenden zu können:
sudo apt install ubuntu-desktop
Öffnen Sie die Webkonsole und geben Sie Daten ein:
Gehen Sie zum http://localhost:3000 und geben Sie die Standardanmeldeinformationen ein: Benutzername: snorby@snorby.org und Passwort: snorby
Und das System wurde erfolgreich installiert!
Zusammenfassung
Wir haben die Installation eines IPS/IDS-Systems für r eingeführtapid Bereitstellung. Wir haben uns für eine beliebte Open-Source-Lösung entschieden, die Stabilitäts- und Sicherheitsprüfungen bietet – die KombinationnatIon von Snort und Snorby. Snort, das als Hauptmodul mit IDS/IPS-Funktionen fungiert, prüft den Netzwerkverkehr anhand vordefinierter Regeln, um potenzielle Sicherheitsbedrohungen zu erkennen, und kann verdächtige Aktivitäten aktiv blockieren oder warnen. Snorby ergänzt Snort, indem es eine Weboberfläche für eine komfortable Verwaltung bietet.
Der Installationsprozess umfasste die Aktualisierung des Paketindex und die Aktualisierung des Betriebssystems. Docker, eine kompilierte Anwendung, die r erleichtertapid Bereitstellung und einfache Integration von Modulen, wurde installiert. Der Status der Docker Der Dienst wurde überprüft, um eine erfolgreiche Installation sicherzustellen. Anschließend wurden die Zugangsdaten von der erhalten Docker Repository und Docker Container für Snort, Snorby und die erforderliche Datenbank (Mariadb) wurden abgerufen.
Um die Datenbank einzurichten, wurde ein Container namens snorby-db mit entsprechenden Umgebungsvariablen für Benutzeranmeldung und Passwort ausgeführt. Ebenso wurden Container für Snort (snort3) und Snorby gestartet, wobei Snorby für die Verbindung mit der MariaDB-Instanz konfiguriert wurde. Der Zugriff auf die Bash-Shell des Snort-Containers ermöglichte die weitere Konfiguration des IDS/IPS-Systems mithilfe eines benutzerdefinierten Verkehrsprofils oder vordefinierter Sicherheitsbeispiele.
