实验7 安装及建置入侵侦测防御系统.ppt

實驗 7：安裝及建置入侵偵測防禦系統 實驗 7：安裝及建置入侵偵測防禦系統 簡介 實驗目標： 本實驗之目的是讓學生學習如何架設輕量級入侵偵測系統Snort，並且將Snort所偵測到的alert資訊導入MySQL Database；接著架設Apache Http Server，結合adodb與jpgraph套件，架設ACID(Analysis Console for Intrusion Databases) for Snort的網站，讓使用者可以使用瀏覽器與ACID所提供的圖形介面便可即時監控Snort的偵測狀況。 實驗所需工具與簡介 實驗所需工具與簡介： Snort 2.4.4(Snort_244_Installer.exe)：Snort為Marty Roesch在1998年所發展出來的輕量級入侵偵測系統（Intrusion Detection System, IDS），是一個免費的跨平台的套裝軟體，用作監視小型TCP/IP網的嗅探器(sniffer)、日誌記錄、入侵偵測器。它可以運行在Linux/UNIX和Win32系統上。我們採用舊版Snort 2.4(目前最新版為，2008/02/19)。 Snort 2.4版最新Rule更新檔(snortrules-snapshot-2.4.tar.gz)：目前snort 2.6、2.7與2.8版皆有持續更新rule，2.4與2.5只更新到2007年9月，我們所使用的是07年9月的版本。 WinPcap 3.1版(3.1-WinPcap.exe)：WinPcap是windows下用來抓取網路封包的引擎，Snort需配合WinPcap使用。 MySQL Server 4.0版(mysql-4.0.18-win.zip)：MySQL Database目前已出5.1版，用來記錄Snort所發出的alert。 NavcateMySQL v7.0：其提供GUI以方便讓使用者對MySQL Datebase進行設定。 實驗所需工具與簡介 Apache http server (apache_2.0.63-win32-x86-no_ssl.msi)：用來架設Http server，配合PHP與ACID運行，將可讓管理者由遠端即時監看Snort的偵測狀況。 PHP 4.4.8(php-4.4.8-Win32.zip)：搭配Apache http server使用。 Adodb4.8.1(adodb481.zip)：由於PHP的資料庫存取函數沒有標準化，Adodb可以讓程式開發者很簡單的去切換資料庫。PHP4支援連結變數(session variables)，使用者可以透過ADODB儲存連結資訊，以達成真正的可攜性及彈性。 jpgraph-1.2.2(jpgraph-1.22.tar.gz)：這是個方便的繪圖物件，可以讓開發者在開發PHP網頁時方便的自動生成圖片與製作報表。 ACID-0.9.6b23(acid-0.9.6b23.tar.gz)：ACID(Analysis Console for Intrusion Databases)套件是專為Snort設計的網頁操作介面，由Roman Danyliw所開發。關於Snort配合ACID使用的說明在snort官方網站中有做說明，link為：/user/rdanyliw/snort/acid_config.html。 實驗步驟 Step 1 安裝snort Step 2 安裝WinPcap Step 3 安裝MySQL Step 4 安裝MySQL管理工具NavicateMySQL Step 5 安裝Apache Server Step 6 安裝PHP 4 Step 7 安裝acid Step 8 安裝adodb及Jpgraph Step 9 設定acid Step 10 啟動Snort Step 11 使用ACID Step 1 安裝snort 安裝Snort 2.4.4 持續按Next直到安裝完成 Step 1 安裝snort 安裝完之後，開啟C:\Snort\etc的snort.conf尋找並修改下列設定的屬性如下： var HOME_NET /24 (自行修改) var RULE_PATH C:/Snort/rules output database: log, mysql, user=snort password=snort dbname=snort host=localhost (user與password使用者可自訂) include C:\Snort\etc\classification.config Snort安裝完後，並沒有附上rule檔，因此必需上網download最新的rule檔，在Snort官