本文目录一览:
入侵检测系统security onion
配置和部署略,网上有很多重复的文章。网上关于security onion部署的文章非常多。但是介绍怎么使用的却很少。
security onion是什么,可以用来做什么?
security onion是一个封装了很多有关于IDS软件的一个基于ubuntu的操作系统,里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)
security onion对硬件的要求?
snort:200~300Mbps时开始丢包,500mbps时无法工作(不推荐使用该引擎)
suricata:能承受的流量比snort高,结合pfring可以承受很高的流量。
在一个流量达到700mbps以上吞吐的线路环境,需要一台1.5w元以上配置的服务器(2017年),配置的要点是需要有性能十分强劲的CPU(E5或者以上),内存32G以上、独立万兆网卡(建议)。
security onion部署要点?
一般情况下,security onion的功能有很多。但是只开一两个功能就可以了。例如suricata+squert。snorby不建议开启(显示不实时,而且体验很差)。同时开多个功能会非常消耗性能。部署的地点是首先要明确你要保护什么,想要获得什么情报。推荐的部署地点是出口线路、机密服务器到普通网络之间的线路。
一般部署步骤:上线运行一段时间,把排名前几位的确认无用的SID写进disablesid.conf里面剔除掉(噪声过滤),让后再根据业务需求写自定义规则。
如果站点使用的是HTTPS方式对外发布服务,为了IDS的工作更加有效。可以部署在明文的传输段,也就是避开部署在HTTPS服务器前面。部署推荐如下:client--NGINX----(此处的流量被镜像到security onion)----应用服务器
#此处的NGINX负责进行SSL加密。当然,nginx也可以是apche、F5等。流量镜像到IDS的方法是用交换机的镜像端口功能,如下(以华为的设备为例),
接sniffer的端口配置:observe-port 1 int ethernet0/0/1
被镜像的端口:
int ethernet0/0/15
port-mirroring to observe-port 1 inbound
seucrity的配置核心-规则(重要的工作)
suricata可以使用ET和GPL等检测规则。但是后期需要信息安全工程师进行持续优化以及自定义。规则可以简单分为官方规则和自定义规则。官方规则是由一些专业的安全人员写出来的。一般如果不是对安全原理研究得特别深的情况下,不用去动他。自定义规则可以在官方规则基础上根据自己的需要进行修改。
自定义规则可以这样写(自然语言描述):
在非工作时间有非自动系统账号登录LVS就产生告警。
针对某服务器(没有修复)检测到heart beat特征就告警。
IDC的服务器不是通过堡垒机登录的就告警。
通过security onion发现攻击(重要的工作)
举例,如果出口线路被扫描的话,上squert会有如下发现:
发现攻击后应该做什么?
场景1(对外服务网络):可以使用防火墙阻挡已知的攻击、用交换机/路由器的ACL阻挡攻击者IP、推进漏洞修复的工作、改进安全对策等。
场景2(办公内网):可以知道内网PC是否中毒;内网是否有人企图要发起攻击;是否有僵尸PC;
综上所述。入侵检测系统security onion的主要工作在于如何优化检测规则和告警,以及提升自身发现攻击的能力。提升发现攻击能力的前提是学会攻击。
security onion部署总结:
有很多人发现吧security onion部署上去后发现好像没什么卵用。其实不然,它就像一把锤子,用成什么效果完全取决于安全人员的水平。security onion的部署关键在于“围绕场景而定制”。
如果你部署办公网的出口,每天估计会产生10万个以上的告警。细看告警,你会发现很多告警是很无稽的。例如http发现有明文密码、翻墙、发现有机器跑着过期的flash版本......超级多。但问题是,这些告警都很无聊吗?不是的。这些告警都是通用的告警。因为用http来传送明文密码的确是非常不安全,过期的flash版本也会导致很大的被入侵的风险。只是别人没有搞你而已。然后这些告警都是通用的告警。我们是不需要的。这时候我们要根据办公网的出口场景来定制各种各样的场景,把不用的特征关闭。上一些自己关注的特征,例如僵尸主机特征等等。
如果你部署在一台对内服务的WEB服务器的前面。发现有注入的告警。那么这时候就你要注意你的内网已经被入侵了(不用怀疑),或者是主机被外部人员入侵,又或者是来自员工的入侵。
综上所述。你要知道你要保护什么资产,然后决定怎么去部署security onion,部署的过程根据场景需求来定制规则。去掉噪声,然后你会发现security onion会是一个办公、生产、学习的网络安全利器!
引发告警的特征:
UNION
XSS
访问MYSQL的information_schema
引发告警的特征:
此时注入已经成功,可以获得列的信息。
入侵检测是检测什么
检查是否有可疑活动或者违反企业的政策。
入侵检测系统(英语:Intrusion-detection system,缩写为 IDS)是一种网络安全设备或应用软件,可以监控网络传输或者系统,检查是否有可疑活动或者违反企业的政策。侦测到时发出警报或者采取主动反应措施。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的N-IDS和基于主机的H-IDS。后又出现分布式D-IDS。
常用的入侵检测软件有哪些,举4个以上的例子,谢谢啦
1.Snort:这是一个几乎人人都喜爱的开源IDS,它采用灵活的基于规则的语言来描述通信,将签名、协议和不正常行为的检测方法结合起来。其更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序,Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE来分析Snort的警告。
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行 OSSEC HIDS,以监视和分析其防火墙、IDS、Web服务器和身份验证日志3.Fragroute/Fragrouter:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。
4.BASE:又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
5.Sguil:这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从 Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS警告的事件驱动分析。
入侵检测软件snort有哪些功能
Snort最重要的用途还是作为网络入侵检测系统(NIDS)。
使用简介
Snort并非复杂难以操作的软体。 Snort可以三个模式进行运作:
侦测模式(Sniffer Mode):此模式下,Snort将在现有的网域内撷取封包,并显示在荧幕上。
封包纪录模式(packet logger mode):此模式下,Snort将已撷取的封包存入储存媒体中(如硬碟)。
上线模式(inline mode):此模式下,Snort可对撷取到的封包做分析的动作,并根据一定的规则来判断是否有网路攻击行为的出现。
基本指令:侦测模式
若你想要在萤幕上显示网路封包的标头档(header)内容,请使用
./snort -v
如果想要在萤幕上显示正在传输的封包标头档内容,请使用
./snort -vd
如果除了以上显示的内容之外,欲另外显示数据链路层(Data link layer)的资料的话,请使用
./snort -vde
IDS是什么软件
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上