局域網(wǎng)中構(gòu)建入侵檢測系統(tǒng)

1、局域網(wǎng)中構(gòu)建入侵檢測系統(tǒng) 作者：佚名 來源：IT 加入時間：2005-3-5 隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)安全也越來越受到關(guān)注，原有的防火墻已經(jīng)越來越難以獨(dú)立保障網(wǎng)絡(luò)的安全，這其中包含很多原因，主要是由于防火墻始終在明處抵擋外來的攻擊，黑客針對防火墻的手段不斷翻新，讓它防不勝防，另一方面，很多攻擊來源于網(wǎng)絡(luò)內(nèi)部，例如內(nèi)部用戶的越權(quán)操作或惡意破壞等，這些都對網(wǎng)絡(luò)安全構(gòu)成了極大的威脅。為更全面的保護(hù)網(wǎng)絡(luò)不受攻擊，入侵檢測系統(tǒng)將發(fā)揮出不可替代的作用。首先入侵檢測是被動式的，它的傳感器節(jié)點(diǎn)可以遍布在網(wǎng)絡(luò)中，攻擊者不易覺察，即使有個別點(diǎn)被破壞，也不會全部癱瘓。其次，入侵檢測的傳感器節(jié)點(diǎn)處在內(nèi)部網(wǎng)絡(luò)中，可以很

2、好的發(fā)現(xiàn)并杜絕內(nèi)部用戶的越權(quán)操作。由此可見，將防火墻和入侵檢測結(jié)合起來使用可以更有效的保證網(wǎng)絡(luò)安全。本文將介紹一個輕載的建立在windows平臺上的入侵檢測系統(tǒng)winsnortacid1.7的安裝和使用，所謂輕載是指該軟件在運(yùn)行的時候只占用極少的網(wǎng)絡(luò)資源，對原有網(wǎng)絡(luò)性能影響很小。以下將分步介紹winsnortacid1.7的安裝過程。snort是自由軟件，可以從Internet上免費(fèi)下載, 要完整的安裝winsnortacid1.7必須先從snort（）的站點(diǎn)上下載以下軟件：Snort (Win32 MySQL Binary!) 1.7.1；Snort Rules 1

3、.7；WinPcap 2.2；MySQL Shareware 3.23.40；"create_mysql" database creator；PHP 4.0.6；ADODB 1.1.2；ACID 0.9.6b6；萬事俱備后就可以開始安裝了。A、安裝Snort MySQL Version 1.71. 在C盤生成5個目錄："C:Snort" ， "C:SnortPHP”， "C:SnortADODB"， "C:SnortBin" ， "C:SnortLogs"；2. 將Snort (Win

4、32 MySQL Binary!) 1.7.1解壓到"C:SnortBin"目錄；3. 將Snort Rules 1.7解壓到"C:SnortBin"，覆蓋原有的rules；4. 用寫字板打開并編輯C:SnortBin 目錄下的snort.conf，找到"var HOME_NET any"語句，如果想監(jiān)測所有網(wǎng)絡(luò)，假設(shè)主機(jī)的IP為0，則改為/24，如果只想監(jiān)測本機(jī)則改為0/32，不改動則缺省是監(jiān)測所有的網(wǎng)絡(luò)；5. 在snort.conf中查找以下語句：(引號以內(nèi))"output

5、 database: log, mysql, user=snort dbname=snort host=localhost"；如果有同樣的語句，就刪除掉該句前的注釋符”#”，沒有就添加這條語句；6. Snort.conf文件中的每個INCLUDE *.rules文件都必須寫上完整的路徑。如下例所示： include c:snortbinexploit.rules7. 安裝WinPcap.exe；8. 重新啟動計算機(jī)；B、安裝MySQL Database1. 如果在Windows 2000或XP Server或Advanced Server中運(yùn)行了終端服務(wù)，那就必須從控制面板中的添加/

6、刪除中安裝MySQL。否則就可以直接雙擊setup運(yùn)行；2. 選擇所有的缺省設(shè)置，確保安裝在c:根目錄；3. 如果一切正常，會在托盤中生成一個MySQL圖標(biāo)。筆者試著裝了兩次，雖然都沒有報錯，但也沒有在托盤中自動生成小圖標(biāo)。不過，不要緊只要打開c: MySQLbin目錄下的winmysqladmin.exe，就都搞掂了；4. 右鍵單擊托盤中的MySQL圖標(biāo)，選擇Show Me；5. 選擇Start Check活頁，那里的一切都應(yīng)該顯示ok或yes。如果沒有這樣，就重新啟動一次計算機(jī)再檢查一次；6. 選擇my.ini setup活頁，輸入用戶名和密碼，然后點(diǎn)擊Save Modifications

7、按鈕，保存修改的文件；7. 點(diǎn)擊Create Shortcut on Start Menu按鈕，將在啟動組里添加MySQL。以后每次重新啟動計算機(jī)時，MySQL都會自動啟動；C、生成一個Win32 MySQL database1. 右鍵單擊托盤內(nèi)的MySQL圖標(biāo)，選擇Show Me，MySQL顯示在屏幕上，選擇database活頁，右鍵單擊服務(wù)器名，選擇Create Database，輸入數(shù)據(jù)庫名snort。2. 要在命令模式下產(chǎn)生一個用戶，在命令模式下進(jìn)入C:MySQLBin目錄，輸入MySQL，此時屏幕上會顯示mysql>，輸入：u mysql;<回車>再輸入：grant

8、 INSERT,SELECT,CREATE,DELETE on snort.* to snortlocalhost; <回車>；確定用戶已經(jīng)添加進(jìn)去，在"mysql> "模式下輸入：u mysql <回車>，3. 在"mysql> "模式下輸入：show tables;（會看到一個列表，顯示了user entry），4. 在"mysql> "模式下輸入：select * from user;（會看到列出了用戶snort）；D、在MySQL中生成Acid的庫表1. 拷貝"create_

9、mysql"文件到C:MySQLBin目錄；2. 在命令模式下進(jìn)入到"C:MySQLBin"目錄，輸入：MySQL -u snort snort < C:MySQLBincreate_mysql；為了確信這些列表確實(shí)添加了，可以打開MySQL，選擇Database活頁，再選擇Snort數(shù)據(jù)庫，這時會看到生成的數(shù)據(jù)庫列表；如果系統(tǒng)報錯，不能添加列表進(jìn)去，可以嘗試輸入以下語句：MySQL -u snortlocalhost snort < C:MySQLBincreate_mysql.txt；E、測試Snort1. 在命令模式下進(jìn)入到"C: Sn

10、ort Bin"目錄，輸入：Snort W，會看到羅列出的很多適配器，可以在他們上面安裝入侵檢測的傳感器，這些適配器分別編號為：1，2，3，等；2. 在"C:SnortBin> "模式下輸入：snort -v ix（X是傳感器的編號，筆者選用了本機(jī)作為傳感器，輸入了snort -v i1）；打開瀏覽器，隨便訪問一些網(wǎng)址，目的是為了生成一些網(wǎng)絡(luò)流量，在windows的命令窗口中你將會看到所有連接的具體信息；3. 在任務(wù)管理器中關(guān)掉這個進(jìn)程；4. 再回到命令模式，在"C:SnortBin> "下輸入：Snort -c C:SnortBi

11、nSnort.conf -l C:SnortLogs ix（X是傳感器的編號），如果不出意外，Snort會在"C:SnortLogs"目錄下生成一個Alert.ids文件，筆者按照此方法做時，系統(tǒng)報錯，后改為以下語句：Snort -c C:SnortBinSnort.conf -l C:SnortLogs；最終在"C:SnortLogs"目錄下成功生成一個Alert.ids文件，該文件可以用寫字板打開查看；5. 再在任務(wù)管理器中關(guān)掉這個進(jìn)程；F、將Snort設(shè)置成為windows NT4 Server / 2000 / XP的一項(xiàng)服務(wù)1. 首先，需要安裝

12、兩個windows資源工具：srvany.exe，instsrv.exe（這兩個軟件可以從G上搜索到）。并將它們放到本機(jī)的根目錄，在筆者機(jī)上的目錄是d:winnt，在其他機(jī)子上可能會是c:WINDOWS或c:winnt。2. 在運(yùn)行一欄中敲入cmd后回車，進(jìn)入命令模式；3. 必須先安裝SRVANY服務(wù)，在命令模式中輸入INSTSRV SrvAny srvany.exe，其中是指srvany.exe放置的具體位置（筆者機(jī)子位置是d:winnt）；4. 在命令模式下輸入INSTSRV.EXE snort SRVANY.EXE，其中是指srvany.exe放置的具體位置（筆者機(jī)子位置是d:winnt

13、）；5. 在運(yùn)行框中添入regedit，開始編輯注冊表。（首先備份原有的注冊表文件，在注冊表菜單下點(diǎn)擊導(dǎo)出注冊表文件，然后保存即可）；6. 在注冊表中找到子項(xiàng)：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSnort，并且選中它；7. 從編輯菜單中選擇新建，選擇項(xiàng)，然后輸入Parameters；8. 選中Parameters項(xiàng)，右鍵單擊，選擇新建，字符串，輸入Application；9. 右鍵單擊Application，選擇修改，輸入C:SnortBinSnort.exe；10. 選中Parameters項(xiàng)，右鍵單擊，選擇新建，字符串，輸入A

14、ppParameters；11. 右鍵單擊AppParameters，選擇修改，輸入-c C:SnortBinSnort.conf -l C:SnortLogs -ix（x為傳感器編號，本機(jī)輸入的是1）；12. 選中Parameters項(xiàng)，右鍵單擊，選擇新建，字符串，輸入AppDirectory；13. 右鍵單擊AppDirectory，選擇修改，輸入C:Snort；14. 從開始菜單-程序->管理工具，打開服務(wù)，右鍵單擊snort,選擇屬性，選擇啟動方式為自動。至此snort已經(jīng)成功的安裝在你的主機(jī)上了，但是為了方便管理，它還提供了一套配套的基于web頁面的管理方式。具體安裝方式如下：

15、G、安裝PHP1. 將PHP解壓到C:SnortPHP目錄。2. 拷貝文件php.ini-dist到本機(jī)的根目錄，并將它改名為php.ini。3. 注意：筆者機(jī)子的根目錄是d:winnt,其它的有可能是c:windows。4. 用寫字板打開php.ini，修改以下兩個變量：1) max_execution_time = 602) session.save_path = "Temp" folder.注意：指的是本機(jī)的根目錄，筆者機(jī)子的根目錄是d:winnt,其它的有可能是c:windows。H、配置PHP運(yùn)行在NT Server / 2000 / XP的IIS 4/5環(huán)境下1

16、. 打開管理工具中的Internet管理工具；2. 右鍵單擊默認(rèn)web站點(diǎn)，選擇屬性；3. 在主目錄活頁下，點(diǎn)擊配置按鈕，選擇應(yīng)用程序映射；4. 點(diǎn)擊添加按鈕，在可執(zhí)行程序框內(nèi)添入c:snortphpphp.exe5. 在下面的擴(kuò)展名框中添入.php；6. 選擇腳本引擎；7. 點(diǎn)擊確定即可。I、安裝ADODB 一個高性能的數(shù)據(jù)庫庫1. 解壓ADODB到C:SnortADODB目錄，編輯ADODB.INC.PHP，找到$ADODB_Database，輸入修改為$ADODB_Database = 'C:Snortadodb'2. 解壓并移動Acid到缺省的web站點(diǎn)目錄下，筆者機(jī)子為d:Inetpubwwwroot3. 配置acid目錄下的acid_conf.php，只需要修改以下變量：$DBlib_path = "C:SnortADODB"$alert_dbname = "snort"$alert_host = "localhost"$alert_port = ""$alert_user = "snort"$alert_password = ""4. 重新啟動計算機(jī)5. 打開瀏覽器輸入http:/localhost/Acid/I