實驗03 安裝及建置入侵偵測防禦系統
Download
Report
Transcript 實驗03 安裝及建置入侵偵測防禦系統
教育部資通訊人才培育先導型計畫
寬頻有線教學推動聯盟中心
實驗三:安裝及建置入侵偵測防禦系統
國立雲林科技大學
電腦與通訊工程系
實驗三 安裝及建置入侵偵測防禦系統
實驗目的
實驗簡介
學習如何架設入侵偵測系統 Snort
學習如何使用 ACID (Analysis Console for Intrusion Databases) 所提供的圖形
介面即時監控 Snort 的偵測狀況
實驗工具
Snort 2.4.4
Snort 最新Rule檔
WinPcap 4.0.2版
MySQL Server 4.1
NavcateMySQL v8.0
Apache http server 2.0.6.3
PHP 4.4.8
Adodb4.8.1
jpgraph-1.2.7
ACID-0.9.6b23
國立雲林科技大學電腦與通訊工程系
2
實驗三 安裝及建置入侵偵測防禦系統
安裝過程
實驗步驟
Step 01. 安裝Snort
Step 02. 安裝WinPcap
Step 03. 安裝MySQL
Step 04. 安裝MySQL管理工具Navicat MySQL
Step 05. 安裝Apache Server
Step 06. 安裝PHP 4
Step 07. 安裝ACID
Step 08. 安裝Adodb及Jpgraph
Step 09. 設定ACID
Step 10. 啟動Snort
Step 11. 使用ACID
國立雲林科技大學電腦與通訊工程系
3
實驗三 安裝及建置入侵偵測防禦系統
Step 01. 安裝 Snort
安裝 Snort 2.8.4 (可到 www.snort.org 下載)
國立雲林科技大學電腦與通訊工程系
4
實驗三 安裝及建置入侵偵測防禦系統
Step 01. 安裝 Snort
一直選擇 Next 直到安裝完成
國立雲林科技大學電腦與通訊工程系
5
實驗三 安裝及建置入侵偵測防禦系統
根據使用者的權限提供不同的 rules
Subscriber
可取得最新更新的 rules
Registered
能取得更新時間超過30天的 rules
Unregistered
Step 01. 安裝 Snort
只能得到幾個較重要的 rules
增加 Snort Rules
將下載的 rules 檔解壓後放在 C:\snort\rules下 (Snort 的安裝目錄\rules)
國立雲林科技大學電腦與通訊工程系
6
實驗三 安裝及建置入侵偵測防禦系統
Step 02. 安裝 WinPcap
安裝 WinPacp 4.0.2 (可到 www.winpcap.org 下載)
國立雲林科技大學電腦與通訊工程系
7
實驗三 安裝及建置入侵偵測防禦系統
Step 02. 安裝 WinPcap
選擇 Next 直到安裝完成,安裝完成後請重新開機。
國立雲林科技大學電腦與通訊工程系
8
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
安裝 MySQL 4.1 ,並選擇 Typical (可到 dev.mysql.com/downloads/下載)
國立雲林科技大學電腦與通訊工程系
9
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
一直按 Next ,出現註冊畫面時,選 Skip Sign-Up
國立雲林科技大學電腦與通訊工程系
10
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
選擇 Next,進行 MySQL 伺服器的設定。
國立雲林科技大學電腦與通訊工程系
11
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
接下來我們要設定 MySQL 伺服器相關的設定,第一步選擇 Next 。
國立雲林科技大學電腦與通訊工程系
12
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
選擇 Standard Configuration 後,按 Next 。
國立雲林科技大學電腦與通訊工程系
13
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
使用預設值,直接按 Next 。
國立雲林科技大學電腦與通訊工程系
14
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
接著設定管理者的密碼。
國立雲林科技大學電腦與通訊工程系
15
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
按 Execute 後,即可完成 MySQL 伺服器的設定。
國立雲林科技大學電腦與通訊工程系
16
實驗三 安裝及建置入侵偵測防禦系統
Step 03. 安裝MySQL
安裝完 MySQL 4.1 後,請到 控制台 系統管理工具 服務 下確認
MySQL 的狀態為已啟動。
國立雲林科技大學電腦與通訊工程系
17
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
安裝 MySQL 管理工具 Navicat MySQL (可到 www.navicat.com.tw/download.html
下載)
國立雲林科技大學電腦與通訊工程系
18
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
選擇下一步直到安裝完成
國立雲林科技大學電腦與通訊工程系
19
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
安裝完成後,執行 Navicat MySQL
國立雲林科技大學電腦與通訊工程系
20
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
點擊連線,輸入密碼,並按確定
國立雲林科技大學電腦與通訊工程系
21
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
完成上述步驟後,就可以連線到 MySQL Server 了
國立雲林科技大學電腦與通訊工程系
22
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
在 localhost 按右鍵,選擇開啟連線
國立雲林科技大學電腦與通訊工程系
23
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
連線後,在 localhost 上按右鍵選擇「新增資料庫」
國立雲林科技大學電腦與通訊工程系
24
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
新增一個名為「snort」的空白資料庫
國立雲林科技大學電腦與通訊工程系
25
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
新增完後請重新連線,接著匯入 Snort 專用的 schema
在 snort 點 二 下 並 按 右 鍵 選 擇 「 執 行 批 次 任 務 檔 案 」 載 入
C:\snort\schemas\create_mysql
國立雲林科技大學電腦與通訊工程系
26
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
接著就可以看到 snort 的表單被建立完成
國立雲林科技大學電腦與通訊工程系
27
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
接著建立要存取 MySQL Server 的帳號
點擊「管理使用者」「加入使用者」設定權限儲存
在「加入使用者」表單內
%:由 remote 連線至 MySQL Server 的使用者
localhost:直接在本機對 MySQL Server 進行存取的使用者
國立雲林科技大學電腦與通訊工程系
28
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
設定使用者snort對 snort 資料庫的權限
國立雲林科技大學電腦與通訊工程系
29
實驗三 安裝及建置入侵偵測防禦系統
Step 04. 安裝 Navicat MySQL
這裡請注意,由於 MySQL 4.1 之後採用的加密方式跟 4.1 之前不同,所
以需要設定使用 OLD_PASSWORD 加密。
國立雲林科技大學電腦與通訊工程系
30
實驗三 安裝及建置入侵偵測防禦系統
Step 05. 安裝Apache Server
安裝Apache HTTP Server 2.0.63 (可到 httpd.apache.org 下載)
國立雲林科技大學電腦與通訊工程系
31
實驗三 安裝及建置入侵偵測防禦系統
Step 05. 安裝Apache Server
設定網域與 ServerName
國立雲林科技大學電腦與通訊工程系
32
實驗三 安裝及建置入侵偵測防禦系統
Step 05. 安裝Apache Server
Type 選擇 Typical
國立雲林科技大學電腦與通訊工程系
33
實驗三 安裝及建置入侵偵測防禦系統
Step 05. 安裝Apache Server
按 Next 直到安裝結束
國立雲林科技大學電腦與通訊工程系
34
實驗三 安裝及建置入侵偵測防禦系統
Step 06. 安裝PHP
下載 PHP 4.48 (http://www.php.net/get/php-4.4.8-Win32.zip/from/a/mirror)
將 PHP解壓在C:\snor\php目錄底下,並執行以下動作
將php4ts.dll複製到C:\WINDOWS\system32目錄下
將php.ini-dist複製到C:\WINDOWS下,並變更檔名為php.ini,開啟php.ini檔
尋找並修改下列設定的屬性如下:
max_execution_time = 60
extension_dir = "C:\Snort\php\extensions“
session.save_path = "C:\Snort\php\sessiondata“
在C:\Snort\php底下新增資料夾,命名為sessiondata
在安裝完PHP後,切換到Apache預設的安裝目錄,並在conf目錄下開啟
httpd.conf,並增加下列二行設定:
LoadModule php4_module “C:\Snort\php\sapi\php4apache2.dll”
AddType application/x-httpd-php .php
國立雲林科技大學電腦與通訊工程系
35
實驗三 安裝及建置入侵偵測防禦系統
Step 07. 安裝ACID
將 acid-0.9b23.tar.gz 解 壓 至 Apache 預 設 目 錄 htdocs 底 下 , 並 開 啟
acid_config.php檔尋找並修改下列設定的屬性:
/* Path to the DB abstraction library */
$DBlib_path = "C:\Snort\php\adodb";
/* The type of underlying alert database */
$DBtype = "mysql";
/* Alert DB connection parameters */
$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "3306";
$alert_user = "snort";
$alert_password = "之前設定的snort使用者密碼";
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "localhost";
$archive_port = "3306";
$archive_user = "snort";
$archive_password = "之前設定的snort使用者密碼";
/* Path to the graphing library */
$ChartLib_path = "C:\Snort\php\jpgraph-1.27\src";
國立雲林科技大學電腦與通訊工程系
36
實驗三 安裝及建置入侵偵測防禦系統
Step 08. 安裝Adodb及Jpgraph
安裝Adodb及Jpgraph
分別將adodb481.zip及jpgraph-1.27.tar.gz的檔案解壓縮到
C:\Snort\php\adodb
C:\Snort\php\jpgraph-1.27
開啟C:\Snort\php\jpgraph-1.27\src下的jpgraph.php檔,並增加一行設定如下:
// For internal use only
DEFINE(“_JPG_DEBUG”,false);
DEFINE(“_FORCE_IMGTOFILE”,false);
DEFINE(“_FORCE_IMGDIR”,‘/tmp/jpgimg/’);
DEFINE("CACHE_DIR", "/tmp/jpgraph_cache");
增加此行
國立雲林科技大學電腦與通訊工程系
37
實驗三 安裝及建置入侵偵測防禦系統
Step 09. 設定ACID
使用瀏覽器開啟ACID,並點選 Setup page 進行設定
http://(安裝Apache Server的IP位置)/acid/acid_main.php (本例以140.125.32.15為例)
國立雲林科技大學電腦與通訊工程系
38
實驗三 安裝及建置入侵偵測防禦系統
Step 09. 設定ACID
按下 Create ACID AG
國立雲林科技大學電腦與通訊工程系
39
實驗三 安裝及建置入侵偵測防禦系統
Step 09. 設定ACID
當完成上述步驟後,即可完成 ACID 設定
國立雲林科技大學電腦與通訊工程系
40
實驗三 安裝及建置入侵偵測防禦系統
Step 10. 啟動 Snort
可利用MS-DOS命令提示字元,切換到C:\Snort\bin目錄,即可啟動Snort
首先,我們必須知道要監聽的網路卡是哪個,可利用snort –W指令查詢
國立雲林科技大學電腦與通訊工程系
41
實驗三 安裝及建置入侵偵測防禦系統
Step 10. 啟動 Snort
接著啟動 Snort
設定檔:C:\Snort\etc\snort.conf
log存放位置:C:\Snort\log
監聽的介面:4
Snort –c C:\Snort\etc\snort.conf –l C:\Snort\log –i 4
國立雲林科技大學電腦與通訊工程系
42
實驗三 安裝及建置入侵偵測防禦系統
Step 11. 使用ACID
當啟動 Snort 後,我們可以使用 ACID 來觀看 Snort 所偵測到的結果。
淺藍色的數字均為超連結,點選之後可進一步觀看相關的訊息
國立雲林科技大學電腦與通訊工程系
43
實驗三 安裝及建置入侵偵測防禦系統
Added 0 alert(s) to the Alert cache
網路卡個數
Unique Alerts (categories)
ACID安裝的安裝時間
Sensors
資料庫資訊
Time windows
最新查詢的日期時間
Database
最新加入的alert數量
Queried on
Step 11. 使用ACID
alerts中所包含種類數
Total Number of Alerts
alert的總數
國立雲林科技大學電腦與通訊工程系
44
實驗三 安裝及建置入侵偵測防禦系統
Source IP addresses
封包來源主機IP位址的port數
Dest. Ports
不重複IP位址的連結數
Source Ports
alert的目的主機IP位址個數
Unique IP links
alert的來源主機IP位址個數
Dest. IP addresses
Step 11. 使用ACID
封包目的主機IP位址的port數,可區分成TCP與UDP。
Traffic Profile by Protocol
將偵測到的封包以protocol進行統計,針對port scan的alert不列入此計算之中
。
國立雲林科技大學電腦與通訊工程系
45
實驗三 安裝及建置入侵偵測防禦系統
Search
今天的alert,可檢視不重複的alert或總覽alert;亦可依來源/目的主機IP位址
區分檢視。
Last 24 Hours: alerts unique, listing; IP src / dst
最新的alert,可全部檢視或依封包協定類別區分TCP、UDP、ICMP檢視。
Today‘s: alerts unique, listing; IP src / dst
設定以統計圖方式呈現alert記錄情況
Most recent Alerts: any protocol, TCP, UDP, ICMP
使用複合條件查詢alert資料
Graph Alert data
Step 11. 使用ACID
最近24小時的alert,可檢視不重複的alert或總覽alert;亦可依來源/目的主機
IP位址區分檢視。
Last 72 Hours: alerts unique, listing; IP src / dst
最近72小時的alert,可檢視不重複的alert或總覽alert;亦可依來源/目的主機
IP位址區分檢視。
國立雲林科技大學電腦與通訊工程系
46
實驗三 安裝及建置入侵偵測防禦系統
Most recent 15 Unique Alerts
最新alert的目的位址埠號,可全部檢視,或依封包協定類別區分TCP、UDP
檢視。
Most frequent 5 Alerts
最新alert的來源位址埠號,可全部檢視或依封包協定類別區分TCP、UDP檢
視。
Last Destination Ports: any , TCP , UDP
最新15種不重複的alert
Last Source Ports: any , TCP , UDP
Step 11. 使用ACID
最頻繁的5種alert
Most Frequent Source Ports: any , TCP , UDP
最頻繁alert的來源位址埠號,可全部檢視或依封包協定類別區分TCP、UDP
檢視。
國立雲林科技大學電腦與通訊工程系
47
實驗三 安裝及建置入侵偵測防禦系統
Most Frequent Destination Ports: any , TCP , UDP
設定起迄日期時間以統計圖方式呈現alert偵測時間的記錄情況。
Alert Group (AG) maintenance
15個最頻繁alert的位址,區分來源或目的位址檢視。
Graph alert detection time
最頻繁alert的目的位址埠號,可全部檢視,或依封包協定類別區分TCP、
UDP檢視。
Most frequent 15 addresses: source, destination
Step 11. 使用ACID
alert群組的維護與管理。
Application cache and status
應用程式的資料快取管理與系統狀態檢視。
國立雲林科技大學電腦與通訊工程系
48
實驗三 安裝及建置入侵偵測防禦系統
Step 11. 使用ACID
Search功能
ADD Time
增設查詢不同的起迄日期時間
ADD IP Field:
增設查詢其他的封包欄位資訊
國立雲林科技大學電腦與通訊工程系
49
實驗三 安裝及建置入侵偵測防禦系統
Step 11. 使用ACID
搜尋後的結果如下圖
國立雲林科技大學電腦與通訊工程系
50
實驗三 安裝及建置入侵偵測防禦系統
Snort指令簡易說明
可在 Snort 下輸入 snort -? 即可查詢 Snort 的操作指令
國立雲林科技大學電腦與通訊工程系
51
實驗三 安裝及建置入侵偵測防禦系統
Snort指令簡易說明
Option
說 明
-A
可設定的模式是full,fast,還是none;full模式是記錄標準的alert模式到alert文件中;Fast模式只寫入timestamp,
messages, IPs,ports到文件中,None模式關閉alert
-a
顯示ARP包
-b
是把log的信息包記錄為TCPDUMP格式,所有信息包都被記錄為兩進制形式,log處理速度較快
-c
使用設定文件,這個規則文件是告訴系統什樣的信息要log,或者要alert,或者pass
-C
使用ASCII碼來顯示訊息,而不是hexdump
-d
解碼解到Application Layer
-D
把snort以nids的方法來運行,預設情況下alert記錄發送到/var/log/snort.alert中
-e
顯示並記錄datalink header的數據
-F
從文件中讀BPF過濾器(filters)
-h
設置網路位址,可為一個IP地址或者一個subnet
-I
設定欲監控的interface (由 –W 可查詢)
-l
LOG信息包記錄到目錄中去
-M
發送WinPopup信息到包含文件中存在的工作站列表中去,這選項需要Samba的支持,wkstn文件很簡單,每一
行只要添加包含在SMB中的主機名即可。
國立雲林科技大學電腦與通訊工程系
52
實驗三 安裝及建置入侵偵測防禦系統
Snort指令簡易說明
-n
是指定在處理個數據包退出
-N
關閉LOG記錄,但ALERT功能仍舊正常
-o
改變所採用的記錄文件,如正常情況下採用Alert->Pass->Log order, 而採用此選項是這樣的順序:Pass>Alert->Log order,其中Pass是那些允許通過的規則而不記錄和報警,ALERT是不允許通過的規則, LOG指
LOG記錄,因為有些人就喜歡奇奇怪怪,像CASPER,QUACK就喜歡反過來操作。
-p
關閉雜亂模式嗅探方式,一般用來更安全的調試網絡
-r
讀取tcpdump方式產生的文件,這個方法用來處理如得到一個 Shadow(Shadow IDS產生)文件,因為這些文件不
能用一般的EDIT來編輯查看
-s
報警的記錄到syslog中去,在LINUX機器上,這些警告信息會出現在/var/log/secure,在其他平台上將出現在
/var/log/message中去
-S
這個是設置變量值。
-v
使用為verbose模式,把信息包打印在console中,這個選項使用會使速度很慢,這樣結果在記錄多的是時候會
出現丟包現象。
-V
顯示snort版本
-W
查詢可監控之interface
-w
Dump 802.11的控制與管理訊息
-X
Dump link層之raw data packet
-y
在alert與log中的timestamp加入年份
-?
查詢snort可用之指令選項
國立雲林科技大學電腦與通訊工程系
53
實驗三 安裝及建置入侵偵測防禦系統
參考資料
「 http://www.php.net」。
「http://www.snort.org 」。
「 http://www.winpcap.org」。
「 http://httpd.apache.org」。
「 http://dev.mysql.com/downloads/」。
「http://www.navicat.com.tw/download.html 」。
「安裝及建置入侵偵測防禦系統.ppt」。
國立雲林科技大學電腦與通訊工程系
54