So verwenden Sie Gateway-IDS, um das interne Netzwerk von CentOS-Servern zu sichern-Betrieb und Wartung von Linux-php.cn

So verwenden Sie Gateway-IDS, um das interne Netzwerk von CentOS-Servern zu sichern

王林

Freigeben： 2023-07-06 09:00:07

Original

917 Leute haben es durchsucht

So verwenden Sie Gateway-IDS, um die Sicherheit des internen Netzwerks des CentOS-Servers zu schützen

Zusammenfassung: Mit der zunehmenden Anzahl von Netzwerkangriffen ist der Schutz der Sicherheit des internen Netzwerks des Servers besonders wichtig geworden. In diesem Artikel wird erläutert, wie Sie Gateway-IDS (Intrusion Detection System) verwenden, um die Sicherheit des internen Netzwerks des CentOS-Servers zu schützen. Wir überwachen den Netzwerkverkehr, indem wir ein Gateway-IDS konfigurieren und eine regelbasierte Firewall verwenden, um zu verhindern, dass bösartiger Datenverkehr in das interne Netzwerk gelangt. Der Artikel enthält außerdem einige Beispielcodes, die den Lesern helfen sollen, diese Sicherheitsmaßnahmen besser zu verstehen und umzusetzen.

Einführung
Gateway IDS ist ein System, das schädliche Aktivitäten erkennt und blockiert, indem es den Netzwerkverkehr überwacht und analysiert. Es überwacht das Netzwerkverhalten und den Datenverkehr, um mögliche Angriffe zu erkennen und zu melden. Durch die Platzierung des Gateway-IDS am Gateway zwischen dem internen Netzwerk und dem externen Netzwerk können wir die Sicherheit des internen Netzwerks des Servers wirksam schützen.
Gateway-IDS installieren und konfigurieren
Zunächst müssen wir eine Gateway-IDS-Software installieren und konfigurieren, z. B. Suricata. Suricata ist ein leistungsstarkes Open-Source-IDS/IPS-System, das auf CentOS-Servern läuft.

(1) Suricata installieren:
$ sudo yum install epel-release
$ sudo yum install suricata

(2) Suricata konfigurieren:
$ sudo vi /etc/suricata/suricata.yaml
In der Konfigurationsdatei haben wir Das Verhalten von Suricata kann durch die Definition von Regelsätzen, die Aktivierung der Protokollierung, die Konfiguration von Warnungen usw. angepasst werden.

Firewallregeln konfigurieren
Es ist sehr wichtig, Firewallregeln auf dem Gateway zu konfigurieren, um zu verhindern, dass böswilliger Datenverkehr in das Server-Intranet gelangt. Um dies zu erreichen, können wir iptables oder nftables verwenden. Hier ist ein Beispiel mit iptables:

(1) Erstellen Sie eine neue iptables-Kette:
$ sudo iptables -N IDS

(2) Direkter Gateway-IDS-Protokollverkehr zu dieser Kette:
$ sudo iptables -A INPUT -j IDS

(3) Konfigurieren Sie Regeln für die IDS-Kette:
$ sudo iptables -A IDS -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$ sudo iptables -A IDS -m conntrack --ctstate INVALID - j DROP
$ sudo iptables -A IDS -p tcp --dport 22 -m letzten --name ssh --set -m comment --comment „SSH zulassen“
$ sudo iptables -A IDS -p tcp --dport 22 -m letzten - -name ssh --rcheck --seconds 60 --hitcount 4 -j DROP

Die Bedeutung der oben genannten Regeln ist: Erlauben Sie etablierte und verwandte Verbindungen durchzulassen, verwerfen Sie ungültige Verbindungen, wenn es 4 aufeinanderfolgende SSH-Verbindungen gibt. Wenn innerhalb von 60 ausgelöst Sekunden sind SSH-Verbindungen verboten.

Protokollanalyse und Alarm
Durch das Einrichten von Gateway-IDS kann eine große Menge an Protokollen generiert werden. Wir können potenzielle Angriffsaktivitäten erkennen, indem wir diese Protokolle analysieren und Alarme setzen. Das Folgende ist ein Codebeispiel, das ein Python-Skript zum Lesen und Analysieren von Suricata-Protokollen verwendet:

import sys

logfile_path = '/var/log/suricata/eve.json'

def analyze_logs():
    with open(logfile_path, 'r') as logfile:
        for line in logfile:
            # 在这里进行日志分析和报警的逻辑
            pass

if __name__ == '__main__':
    analyze_logs()

Nach dem Login kopieren

Durch das Schreiben geeigneter Logik können wir abnormalen Datenverkehr, bösartige IPs und andere potenzielle Angriffsaktivitäten erkennen und rechtzeitig Alarme ausgeben.

Aktualisieren Sie regelmäßig den Regelsatz und die Software
Um die Sicherheit des Server-Intranets aufrechtzuerhalten, ist es wichtig, den Regelsatz und die Software des Gateway-IDS regelmäßig zu aktualisieren. Wir können den Regelsatz von Suricata mithilfe von Befehlszeilentools oder Konfigurationsdateien aktualisieren. Darüber hinaus sollten wir das Betriebssystem und die zugehörige Software auf dem Server regelmäßig aktualisieren, um potenzielle Schwachstellen zu beheben.

Fazit:
Durch die Verwendung von Gateway-IDS und die Konfiguration von Firewall-Regeln können wir das interne Netzwerk des CentOS-Servers sichern. Die bloße Installation eines IDS-Systems reicht nicht aus, wir müssen auch den Regelsatz regelmäßig aktualisieren, Protokolle überwachen und rechtzeitig Alarme bereitstellen. Nur durch umfassende Sicherheitsmaßnahmen kann das Server-Intranet effektiv vor der Bedrohung durch Netzwerkangriffe geschützt werden.

Referenzmaterialien:

Offizielle Dokumentation von Suricata: https://suricata.readthedocs.io/
iptables-Dokumentation: https://netfilter.org/documentation/

(Hinweis: Der Beispielcode in diesem Artikel ist Als Referenz bitte entsprechend der tatsächlichen Situation in der jeweiligen Umgebung anpassen und testen)

Das obige ist der detaillierte Inhalt vonSo verwenden Sie Gateway-IDS, um das interne Netzwerk von CentOS-Servern zu sichern. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!