>운영 및 유지보수 >리눅스 운영 및 유지 관리 >침입 방지 시스템(IPS)을 사용하여 공격으로부터 CentOS 서버를 보호하는 방법

침입 방지 시스템(IPS)을 사용하여 공격으로부터 CentOS 서버를 보호하는 방법

王林
王林원래의
2023-07-08 11:41:421583검색

침입 방지 시스템(IPS)을 사용하여 공격으로부터 CentOS 서버를 보호하는 방법

인용문:
오늘날의 디지털 시대에는 서버 보안이 매우 중요합니다. 사이버 공격과 침입이 빈번해지고 있기 때문에 이들로부터 서버를 보호해야 할 필요성이 점점 더 시급해지고 있습니다. 침입 방지 시스템(IPS)은 악의적인 활동을 감지 및 차단하고 공격으로부터 서버를 보호하는 데 도움이 되는 중요한 보안 조치입니다. 이 기사에서는 CentOS 서버에서 IPS를 구성하고 사용하여 서버의 보안을 향상시키는 방법을 알아봅니다.

1부: IPS 설치 및 구성
1단계: IPS 소프트웨어 설치
먼저, 적절한 IPS 소프트웨어를 선택하고 설치해야 합니다. Snort는 CentOS에서 사용할 수 있는 인기 있는 오픈 소스 IPS 소프트웨어입니다. 다음 명령을 사용하여 Snort를 설치할 수 있습니다.

sudo yum install snort

설치가 완료된 후 다음 명령을 사용하여 Snort 서비스를 시작할 수 있습니다.

sudo systemctl start snort

2단계: Snort 구성
설치가 완료되면 다음 작업을 수행해야 합니다. Snort가 제대로 작동할 수 있도록 몇 가지 기본 구성이 작동합니다. CentOS에서 Snort 구성 파일은 /etc/snort/snort.conf에 있습니다. 텍스트 편집기로 파일을 열고 필요에 따라 매개변수를 수정할 수 있습니다. /etc/snort/snort.conf。我们可以使用文本编辑器打开该文件,并根据需要修改其中的参数。

以下是一些常见的配置参数和示例:

  • ipvar HOME_NET any:指定允许访问服务器的网络范围,可以是单个IP地址、IP段或子网。
  • ipvar EXTERNAL_NET any:指定可信任的外部网络范围,Snort将针对此范围进行流量监控。
  • alert icmp any any -> $HOME_NET any (msg: "ICMP traffic detected"; sid: 10001):当检测到ICMP流量时,输出一个警报,并将其与SID 10001关联。

完成配置后,我们可以使用以下命令测试配置是否有效:

sudo snort -T -c /etc/snort/snort.conf

第二部分:启用IPS规则
第一步:下载IPS规则
IPS规则是确定何时发生攻击或异常行为的基础。我们可以从Snort官方网站下载最新的规则文件。

以下是下载规则文件的示例命令:

sudo wget https://www.snort.org/downloads/community/community-rules.tar.gz
sudo tar -xvf community-rules.tar.gz -C /etc/snort/rules/

第二步:启用规则集
在Snort配置文件中,我们需要添加以下命令来加载规则集:

include $RULE_PATH /community.rules

第三步:重启Snort服务
配置文件的更改需要重新启动Snort服务才能生效。我们可以使用以下命令重启Snort服务:

sudo systemctl restart snort

第三部分:监控IPS日志
一旦Snort开始监控流量并检测到异常活动,它会生成一个日志文件。我们可以使用以下命令查看日志文件:

sudo tail -f /var/log/snort/alert

第四部分:优化IPS性能

  • 启用多线程:在Snort配置文件中,可以通过设置config detection: search-method ac-split
  • 다음은 몇 가지 일반적인 구성 매개변수 및 예입니다.
    • ipvar HOME_NET any: 서버에 액세스할 수 있는 네트워크 범위를 지정합니다. 이는 단일 IP 주소, IP 세그먼트일 수 있습니다. 또는 서브넷.
    • ipvar EXTERNAL_NET any: 신뢰할 수 있는 외부 네트워크 범위를 지정하면 Snort가 이 범위의 트래픽을 모니터링합니다.

    • alert icmp any any -> $HOME_NET any (msg: "ICMP 트래픽 감지됨"; sid: 10001): ICMP 트래픽이 감지되면 경고를 출력하고 SID 10001 연결과 비교합니다.


    구성을 완료한 후 다음 명령을 사용하여 구성이 유효한지 테스트할 수 있습니다.

    sudo wget https://www.snort.org/rules/snortrules-snapshot-XXXXX.tar.gz -O snortrules-snapshot.tar.gz
    sudo tar -xvf snortrules-snapshot.tar.gz -C /etc/snort/rules/
    🎜파트 2: IPS 규칙 활성화 🎜1단계: IPS 규칙 다운로드 🎜IPS 규칙은 공격 또는 공격 시기를 결정하는 기초입니다. 비정상적인 동작이 발생합니다. Snort 공식 웹사이트에서 최신 규칙 파일을 다운로드할 수 있습니다. 🎜🎜다음은 규칙 파일을 다운로드하는 명령의 예입니다. 🎜rrreee🎜2단계: 규칙 세트 활성화 🎜Snort 구성 파일에서 규칙 세트를 로드하려면 다음 명령을 추가해야 합니다. 🎜rrreee🎜3단계: Snort 서비스 다시 시작 🎜구성 파일 변경 사항을 적용하려면 Snort 서비스를 다시 시작해야 합니다. 다음 명령을 사용하여 Snort 서비스를 다시 시작할 수 있습니다. 🎜rrreee🎜3부: IPS 로그 모니터링🎜Snort가 트래픽 모니터링을 시작하고 비정상적인 활동을 감지하면 로그 파일이 생성됩니다. 다음 명령을 사용하여 로그 파일을 볼 수 있습니다. 🎜rrreee🎜파트 4: IPS 성능 최적화🎜
      🎜멀티 스레딩 활성화: Snort 구성 파일에서 config 감지: 검색을 설정하여 설정할 수 있습니다. 멀티 스레드 감지 방법을 활성화하려면 ac-split 메서드를 사용하세요. 🎜🎜하드웨어 최적화: 고성능 IPS 배포를 위해서는 더 강력한 서버와 네트워크 어댑터를 사용하는 것이 좋습니다. 🎜🎜🎜정기적으로 규칙 업데이트: 새로운 위협이 계속 등장함에 따라 IPS 규칙을 정기적으로 업데이트하는 것이 중요합니다. 다음 명령을 사용하여 규칙을 다운로드하고 업데이트할 수 있습니다. 🎜rrreee🎜🎜🎜결론: 🎜침입 방지 시스템(IPS)을 구성하고 사용하면 CentOS 서버의 보안을 크게 향상하고 악의적인 공격과 무단 액세스를 방지할 수 있습니다. 그러나 IPS는 서버 보안의 일부일 뿐이며, 서버와 데이터의 보안을 보장하기 위한 포괄적인 방어 시스템을 구축하려면 다른 보안 조치를 통합해야 합니다. 🎜

    위 내용은 침입 방지 시스템(IPS)을 사용하여 공격으로부터 CentOS 서버를 보호하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

    성명:
    본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.