论坛徽章:: 1

91楼 [报告]

发表于 2006-10-27 23:43 |只看该作者

7第七章其他一些工具\r\n本章将介绍其他一些工具，并试图让你了解如何使系统更加安全。下面我们来介绍这些工具。\r\n\r\nIDS Manager是基于Windows图形界面的Snort规则和配置管理工具，通过它你可以：\r\n\r\n从一个正在工作的Snort探测器上下载当前的配置文件snort.conf和规则。\r\n修改配置文件和规则。\r\n将配置文件和规则上载到探测器上。\r\n\r\n用IDS Manager你可以管理多个探测器，唯一要注意的事，你需要在Snort探测器上运行SSH服务器。\r\n\r\nSnortSam是另外一个工具，它可以将Snort与防火墙整合在一起，通过它和Snort一起工作，你可以修改防火墙的设置。但是这个功能仍有很多争论，因为它可能会使防火墙遭受Dos攻击。\r\n\r\n本章的另外一个论题是安装ACID的web服务器的安全性，到现在为止，我们还没有涉及到如何加强这个服务器的安全性，任何人都可以访问ACID控制台并删除Snort所收集的信息，我们稍后会解决这个问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

92楼 [报告]

发表于 2006-10-27 23:43 |只看该作者

7.1 SnrotSam\r\nSnortSam可以使Snort与最常见的一些防火墙协同工作，提供防火墙/IDS整合解决方案。在IDS探测到入侵的时候，它可以设置防火墙来阻止恶意的数据或者IP地址。在http://www.snortsam.net/你可以得 ... 龉ぞ甙礁霾糠郑�\r\n1、一个安装到Snort探测器上的Snort输出插件。\r\n2、一个安装到靠近防火墙或防火墙本身所在的机器上的代理。Snort通过安全连接与这个代理通讯。\r\n到目前为止，这个工具支持以下的防火墙：\r\n• 基于 IP filter的防火墙\r\n• Checkpoint Firewall-1\r\n• Cisco PIX\r\n• Netscreen\r\n\r\n它的输出插件需要与Snort一起编译，它会提供一些新的关键字，可以用来控制防火墙的行为。\r\n在一个用CheckPiont防火墙的典型方案中，你可以在防火墙本身运行SnortSam代理。如图7-1所示，一个Snort探测器正在控制两个CheckPoint防火墙。CheckPoint防火墙可以运行在Linux、Windows和其他一些它所支持的Unix系统上。\r\n如果你的防火墙并非CheckPoint这样的软件防火墙，你可以在靠近防火墙的机器上运行代理，为这个代理安装某种插件来控制一种特定的防火墙。例如，如果你需要控制Cisco路由器的访问列表，你可以在SnortSam网站上下载相关的插件。参见图7-2。\r\n关于SnortSam的文档、示例以及如何安装的信息可以在它的网站找到。但是请注意如果配置不当，用这样的工具可能会导致DoS攻击，例如，某人发送构造特殊的信息，可能会使防火墙阻止合法的服务器的通讯，比如你的DNS服务器等。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

93楼 [报告]

发表于 2006-10-27 23:43 |只看该作者

7.2 IDS Policy Manager\r\nIDS Policy Manager是基于Windows图形界面的工具它可以用来管理Snort配置文件和规则。你可以在http:// activeworx.com/idspm/下载。启动这个软件，你可以看到图7-3所示的窗口。\r\n开始的时候，这个窗口是空白的，下面有3个标签，分别是：\r\n\r\n“Sensor Manager”标签页，显示你用这个工具所管理的探测器。开始的时候，列表中没有，因为你并没有添加任何探测器。启动的时候，这个页面是默认页面。\r\n“Policy Manager”标签页，显示所配置的策略。策略包括snort.conf参数和关于这个策略的规则列表。\r\n“Logging”标签页显示日志信息\r\n\r\n点击标签可以切换到相应的标签页。你可以点击Sensor菜单并选择“Add Sensor”来添加探测器，会出现一个如图7-4所示的弹出窗口，在这里你可以填充关于探测器的信息。\r\n\r\n你需要输入下面的信息\r\n探测器的名称，你可以填写你所需要的名字以方便管理\r\n探测器的IP地址\r\nIDS System文本框用来指定Snort的版本，因为Snort不同的版本的参数和插件以及关键字有一点不同，因此这个信息的正确性也是比较重要的。\r\n“Upload Information”包括一些和探测器之间传输文件的参数。\r\nSCP方式是登录探测器上的SSH服务器。“Upload Directory”指定Snort探测器上的snort.conf的位置。\r\n\r\n在输入这些信息以后点击OK就添加了一个探测器。后面的第一项任务就是从你刚才添加的探测器上面下载策略。在Sensor菜单中选择Download Policy from Sensor来实现这个目的。下载完成后，点击窗口下方的Policy Manager标签，你可以看到当前的策略的列表并在这里编辑策略，双击策略名字，就出现一个策略编辑窗口，如图7-5所示。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phiazat

小富即安

论坛徽章:: 1

94楼 [报告]

发表于 2006-10-27 23:44 |只看该作者

7.3加强ACID web控制台的安全性\r\n第6章中，我们提到ACID还有一些安全问题，如果不采取相应的措施，那么可能任何人都能修改ACID所访问的数据库。\r\n在ACID的配置文件acid_conf.php中，用户名和口令都已经经过高强度加密，所以任何访问ACID网页的人都无从知道数据库的用户名和口令。\r\n我们有一些方法能使ACID得到安全的应用。\r\n7.3.1 采用专用网络\r\n防止ACID被任意访问的其中一个方法就是将IDS系统以及数据库放在一个专用网络中，并分配私网IP地址，这样它们对Internet是不可访问的。但是这种方案仍然有些问题，就是内部网络用户可以任意的访问ACID并修改信息。\r\n7.3.2 在防火墙上阻止外部对Web服务器的访问\r\n另外一个方法就是阻止Internet用户对ACID的web服务器的访问，同上个方案一样，这个方案使系统容易受到内部的攻击。\r\n7.3.3 iptables\r\n另外一个方法就是用iptables使web服务器只供管理人员访问。这是最安全的方案之一，不仅可以阻止外来攻击，也可以防止内部的攻击。\r\n例如，如果网络管理员的机器的IP地址是192.168.1.100，我们可以增加这样一条Iptables规则：\r\niptables -A INPUT -s ! 192.168.1.100 -j DROP\r\n这样就会阻止所有不是来自192.168.1.100的连接。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

1 ... 2 3 4 5 6 7 8 910 / 10 页

返回列表

Chinaunix › 论坛 › 备份版区 › 攻防交流区 › 基于Snort的入侵检测系统

基于Snort的入侵检测系统 [复制链接]