随着网络的不断发展,网络安全也越来越受到关注,原有的防火墙已经越来越难以独立保障网络的安全,这其中包含很多原因,主要是由于防火墙始终在明处抵挡外来的攻击,黑客针对防火墙的手段不断翻新,让它防不胜防,另一方面,很多攻击来源于网络内部,例如内部用户的越权操作或恶意破坏等,这些都对网络安全构成了极大的威胁。为更全面的保护网络不受攻击,入侵检测系统将发挥出不可替代的作用。首先入侵检测是被动式的,它的传感器节点可以遍布在网络中,攻击者不易觉察,即使有个别点被破坏,也不会全部瘫痪。其次,入侵检测的传感器节点处在内部网络中,可以很好的发现并杜绝内部用户的越权操作。由此可见,将防火墙和入侵检测结合起来使用可以更有效的保证网络安全。
本文将介绍一个轻载的建立在windows平台上的入侵检测系统winsnortacid1.7的安装和使用,所谓轻载是指该软件在运行的时候只占用极少的网络资源,对原有网络性能影响很小。以下将分步介绍winsnortacid1.7的安装过程。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com)snort是自由软件,可以从Internet上免费下载, 要完整的安装winsnortacid1.7必须先从snort(www.snort.org)的站点上下载以下软件:
Snort (Win32 MySQL Binary!) 1.7.1;
Snort Rules 1.7;
WinPcap 2.2;
MySQL Shareware 3.23.40;
"create_mysql" database creator;
PHP 4.0.6;
ADODB 1.1.2;
ACID 0.9.6b6;
万事俱备后就可以开始安装了。
A、安装Snort MySQL Version 1.7
1. 在C盘生成5个目录:"C:Snort" , "C:SnortPHP”, "C:SnortADODB", "C:SnortBin" , "C:SnortLogs";
2. 将Snort (Win32 MySQL Binary!) 1.7.1解压到"C:SnortBin"目录;
3. 将Snort Rules 1.7解压到"C:SnortBin",覆盖原有的rules;
4. 用写字板打开并编辑C:SnortBin 目录下的snort.conf,找到"var HOME_NET any"语句,如果想监测所有网络,假设主机的IP为10.0.0.20,则改为10.0.0.0/24,如果只想监测本机则改为10.0.0.20/32,不改动则缺省是监测所有的网络;
5. 在snort.conf中查找以下语句:(引号以内)
"output database: log, mysql, user=snort dbname=snort host=localhost";
如果有同样的语句,就删除掉该句前的注释符”#”,没有就添加这条语句;
6. Snort.conf文件中的每个INCLUDE *.rules文件都必须写上完整的路径。如下例所示: include c:snortbinexploit.rules
7. 安装WinPcap.exe;
8. 重新启动计算机;
B、安装MySQL Database
1. 如果在Windows 2000或XP Server或Advanced Server中运行了终端服务,那就必须从控制面板中的添加/删除中安装MySQL。否则就可以直接双击setup运行;
2. 选择所有的缺省设置,确保安装在c:根目录;
3. 如果一切正常,会在托盘中生成一个MySQL图标。笔者试着装了两次,虽然都没有报错,但也没有在托盘中自动生成小图标。不过,不要紧只要打开c: MySQLbin目录下的winmysqladmin.exe,就都搞掂了;
4. 右键单击托盘中的MySQL图标,选择Show Me;
5. 选择Start Check活页,那里的一切都应该显示ok或yes。如果没有这样,就重新启动一次计算机再检查一次;
6. 选择my.ini setup活页,输入用户名和密码,然后点击Save Modifications按钮,保存修改的文件;
7. 点击Create Shortcut on Start Menu按钮,将在启动组里添加MySQL。以后每次重新启动计算机时,MySQL都会自动启动;
C、生成一个Win32 MySQL database
1. 右键单击托盘内的MySQL图标,选择Show Me,MySQL显示在屏幕上,选择database活页,右键单击服务器名,选择Create Database,输入数据库名snort。
2. 要在命令模式下产生一个用户,在命令模式下进入C:MySQLBin目录,输入MySQL,此时屏幕上会显示mysql,输入:u mysql;<回车再输入:
grant INSERT,SELECT,CREATE,DELETE on snort.* to snort@localhost; <回车;
确定用户已经添加进去,在"mysql "模式下输入:u mysql <回车,
3. 在"mysql "模式下输入:show tables;(会看到一个列表,显示了user entry),
4. 在"mysql "模式下输入:select * from user;(会看到列出了用户snort);
D、在MySQL中生成Acid的库表
1. 拷贝"create_mysql"文件到C:MySQLBin目录;
2. 在命令模式下进入到"C:MySQLBin"目录,输入:
MySQL -u snort snort < C:MySQLBincreate_mysql;
为了确信这些列表确实添加了,可以打开MySQL,选择Database活页,再选择Snort数据库,这时会看到生成的数据库列表;如果系统报错,不能添加列表进去,可以尝试输入以下语句:
MySQL -u snort@localhost snort < C:MySQLBincreate_mysql.txt;
E、测试Snort
1. 在命令模式下进入到"C: Snort Bin"目录,输入:Snort –W,会看到罗列出的很多适配器,可以在他们上面安装入侵检测的
