Cara menggunakan IDS get laluan untuk menjamin rangkaian dalaman pelayan CentOS

Cara menggunakan gateway IDS untuk melindungi keselamatan rangkaian dalaman pelayan CentOS

Abstrak: Dengan peningkatan jumlah serangan rangkaian, melindungi keselamatan rangkaian dalaman pelayan telah menjadi sangat penting. Artikel ini akan memperkenalkan cara menggunakan gateway IDS (Intrusion Detection System) untuk melindungi keselamatan rangkaian dalaman pelayan CentOS. Kami akan memantau trafik rangkaian dengan mengkonfigurasi IDS get laluan dan menggunakan tembok api berasaskan peraturan untuk menyekat trafik berniat jahat daripada memasuki rangkaian dalaman. Artikel itu juga akan menyertakan beberapa contoh kod untuk membantu pembaca memahami dan melaksanakan langkah keselamatan ini dengan lebih baik.

1. Pengenalan
   Gateway IDS ialah sistem yang mengesan dan menyekat aktiviti berniat jahat dengan memantau dan menganalisis trafik rangkaian. Ia memantau tingkah laku rangkaian dan trafik untuk mengenal pasti dan melaporkan kemungkinan serangan. Dengan meletakkan IDS get laluan di pintu masuk antara rangkaian dalaman dan rangkaian luaran, kami boleh melindungi keselamatan rangkaian dalaman pelayan dengan berkesan.
2. Pasang dan konfigurasikan IDS get laluan
   Pertama, kita perlu memasang dan mengkonfigurasi perisian IDS get laluan, seperti Suricata. Suricata ialah sistem IDS/IPS sumber terbuka yang berkuasa yang berjalan pada pelayan CentOS.

(1) Pasang Suricata:
$ sudo yum install epel-release
$ sudo yum install suricata

(2) Konfigurasi Suricata:
$ sudo vi /etc/suricata/suricata.weInyaml fail
Tingkah laku Suricata boleh disesuaikan dengan mentakrifkan set peraturan, mendayakan pengelogan, mengkonfigurasi makluman, dsb.

3. Konfigurasikan peraturan firewall
   Adalah sangat penting untuk mengkonfigurasi peraturan firewall pada get laluan untuk menghalang trafik berniat jahat daripada memasuki intranet pelayan. Kita boleh menggunakan iptables atau nftables untuk mencapai ini. Berikut ialah contoh menggunakan iptables:

(1) Cipta rantai iptables baharu:
$ sudo iptables -N IDS

(2) Trafik log IDS get laluan terus ke rantai ini:
$ sudo iptables -A INPUT -j IDS

(3) Konfigurasikan peraturan pada rantaian IDS:
$ sudo iptables -A IDS -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$ sudo iptables -A IDS -m conntrack --ctstate TIDAK SAH - j$ DROP
sudo iptables -A IDS -p tcp --dport 22 -m recent --name ssh --set -m comment --comment "Allow SSH"
$ sudo iptables -A IDS -p tcp --dport 22 -m recent - -nama ssh --rcheck --saat 60 --hitcount 4 -j DROP

Maksud peraturan di atas ialah: membenarkan sambungan yang ditubuhkan dan berkaitan untuk lulus, buang sambungan tidak sah, jika terdapat 4 sambungan SSH berturut-turut Jika dicetuskan dalam 60 saat, sambungan SSH adalah dilarang.

4. Analisis log dan penggera
   Menyediakan IDS get laluan boleh menjana sejumlah besar log. Kami boleh mengesan aktiviti serangan yang berpotensi dengan menganalisis log ini dan menetapkan penggera. Berikut ialah contoh kod yang menggunakan skrip Python untuk membaca dan menganalisis log Suricata:

import sys

logfile_path = '/var/log/suricata/eve.json'

def analyze_logs():
    with open(logfile_path, 'r') as logfile:
        for line in logfile:
            # 在这里进行日志分析和报警的逻辑
            pass

if __name__ == '__main__':
    analyze_logs()

Dengan menulis logik yang sesuai, kami boleh mengesan trafik yang tidak normal, IP berniat jahat dan aktiviti serangan berpotensi lain serta mengeluarkan penggera tepat pada masanya.

5. Kemas kini set peraturan dan perisian secara kerap
   Untuk mengekalkan keselamatan intranet pelayan, adalah penting untuk sentiasa mengemas kini set peraturan dan perisian IDS get laluan. Kami boleh mengemas kini set peraturan Suricata menggunakan alat baris arahan atau fail konfigurasi. Di samping itu, kami harus kerap mengemas kini sistem pengendalian dan perisian berkaitan pada pelayan untuk membetulkan kemungkinan kelemahan.

Kesimpulan:
Dengan menggunakan gateway IDS dan mengkonfigurasi peraturan firewall, kami boleh menjamin rangkaian dalaman pelayan CentOS. Memasang sistem IDS sahaja tidak mencukupi, kami juga perlu sentiasa mengemas kini set peraturan, memantau log dan menyediakan penggera tepat pada masanya. Hanya melalui langkah keselamatan yang komprehensif intranet pelayan boleh dilindungi dengan berkesan daripada ancaman serangan rangkaian.

Bahan rujukan:

• Dokumentasi rasmi Suricata: https://suricata.readthedocs.io/
• dokumentasi iptables: https://netfilter.org/documentation/

(Nota: Kod contoh dalam artikel ini ialah untuk rujukan, sila laraskan dan uji mengikut situasi sebenar dalam persekitaran tertentu)

.

Atas ialah kandungan terperinci Cara menggunakan IDS get laluan untuk menjamin rangkaian dalaman pelayan CentOS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!