Comment protéger les serveurs CentOS à l'aide des systèmes de détection d'intrusion réseau (NIDS)

Comment protéger les serveurs CentOS à l'aide du système de détection d'intrusion réseau (NIDS)

Introduction :
Dans les environnements réseau modernes, la sécurité des serveurs est cruciale. Les attaquants utilisent divers moyens pour tenter de pénétrer dans nos serveurs et de voler des données sensibles ou de compromettre les systèmes. Pour garantir la sécurité du serveur, nous pouvons utiliser un système de détection d'intrusion réseau (NIDS) pour la surveillance et la détection en temps réel des attaques potentielles.

Cet article expliquera comment configurer et utiliser NIDS sur le serveur CentOS pour protéger le serveur.

Étape 1 : Installer et configurer SNORT
SNORT est un système de détection d'intrusion open source que nous pouvons utiliser pour surveiller le trafic réseau et détecter d'éventuelles attaques. Tout d’abord, nous devons installer SNORT.

1. Ouvrez le terminal et connectez-vous au serveur avec les privilèges root.
2. Utilisez la commande suivante pour installer SNORT :

yum install epel-release
yum install snort

3. Une fois l'installation terminée, nous devons configurer SNORT. Tout d’abord, nous devons créer un nouveau fichier de configuration. Créez et ouvrez un nouveau fichier de configuration à l'aide de la commande suivante :

cp /etc/snort/snort.conf /etc/snort/snort.conf.backup
vim /etc/snort/snort.conf

4. Dans le fichier de configuration, SNORT peut être personnalisé selon les besoins. Assurez-vous également de décommenter les lignes suivantes pour activer les fonctionnalités correspondantes :

include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
include $RULE_PATH/community.rules

5. Enregistrez et fermez le fichier de configuration.

Étape 2 : Configurer les règles NIDS
Dans SNORT, les règles sont utilisées pour définir les types d'attaques que nous souhaitons détecter. Nous pouvons utiliser un ensemble de règles existant ou créer des règles personnalisées.

1. Ouvrez le terminal et entrez dans le répertoire des règles SNORT à l'aide de la commande suivante :

cd /etc/snort/rules/

2. Utilisez la commande suivante pour télécharger le dernier ensemble de règles :

wget https://www.snort.org/downloads/community/community-rules.tar.gz
tar -xvf community-rules.tar.gz

3. Une fois le téléchargement et l'extraction terminés, nous pouvons trouver la règle fichiers dans le répertoire des règles. Ces fichiers de règles portent l'extension .rules.
4. Si nous souhaitons ajouter des règles personnalisées, nous pouvons créer un nouveau fichier de règles et y ajouter des règles. Par exemple, nous pouvons créer un fichier de règles appelé custom.rules en utilisant la commande suivante :

vim custom.rules

5. Dans le fichier de règles, nous pouvons ajouter des règles personnalisées. Voici un exemple :

alert tcp any any -> any any (msg:"Possible SSH brute force attack"; 
                         flow:from_client,established; content:"SSH-"; 
                         threshold:type limit, track by_src, count 5, 
                         seconds 60; sid:10001; rev:1;)

6. Enregistrez et fermez le fichier de règles.

Étape 3 : Démarrez SNORT et surveillez le trafic
Après avoir configuré SNORT et les règles, nous pouvons démarrer SNORT et commencer à surveiller le trafic.

1. Ouvrez un terminal et utilisez la commande suivante pour démarrer SNORT :

snort -A console -c /etc/snort/snort.conf -i eth0

Parmi eux, -A console spécifie d'afficher le message d'alerte sur la console, -c /etc/snort/snort.conf spécifie d'utiliser le SNORT fichier de configuration que nous avons configuré précédemment, -i eth0 spécifie l'interface réseau à surveiller.

2. SNORT commencera à surveiller le trafic et à détecter les attaques potentielles. S'il y a une activité suspecte, il générera un message d'alerte et l'affichera sur la console.

Étape 4 : Configurer la notification d'alarme SNORT
Afin de recevoir le message d'alarme à temps, nous pouvons utiliser la fonction de notification par e-mail pour envoyer le message d'alarme à notre adresse e-mail.

1. Ouvrez le terminal et utilisez la commande suivante pour installer le plugin de notification par e-mail :

yum install barnyard2
yum install sendmail

2. Une fois l'installation terminée, nous devons créer un nouveau fichier de configuration. Copiez l'exemple de fichier de configuration et ouvrez un nouveau fichier de configuration à l'aide de la commande suivante :

cp /etc/barnyard2/barnyard2.conf /etc/barnyard2/barnyard2.conf.backup
vim /etc/barnyard2/barnyard2.conf

3. Dans le fichier de configuration, recherchez et décommentez les lignes suivantes :

output alert_syslog_full
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
output alert_fast: snort.alert

config reference_file: reference.config
config classification_file:classification.config
config gen_file: gen-msg.map
config sid_file: sid-msg.map

4. Modifiez les lignes suivantes en fonction de notre serveur SMTP et envoyez un mail à Make modifications appropriées des paramètres :

output alert_full: alert.full
output log_unified2: filename unified2.log, limit 128
output smtp: email@example.com

5. Enregistrez et fermez le fichier de configuration.
6. Démarrez barnyard2 en utilisant la commande suivante :

barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort/

7. Plus tard, si SNORT détecte une activité suspecte, il générera un message d'alerte et l'enverra à notre adresse e-mail spécifiée.

Conclusion :
Il est très important de protéger nos serveurs CentOS en déployant un système de détection d'intrusion réseau (NIDS). Nous pouvons utiliser SNORT pour surveiller le trafic réseau et détecter les attaques potentielles. En suivant les étapes de cet article, nous pouvons configurer SNORT et mettre en place des règles pour surveiller et protéger nos serveurs. De plus, nous pouvons également utiliser la fonction de notification par courrier électronique pour obtenir des messages d'alerte à temps.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!