0x01前言
接上片文“如何搭建属于自己内网全流量的IDS/IPS”上一篇文章介绍了如何利用suricata+arkime做内网全流量系统,目前只做到了记录suricata告警日志和arkime流量分析,只实现了ids入侵检测系统的功能,但是要作为IPS 入侵防御系统来用的话暂时还不能实现拦截的功能,这章介绍怎么作为IPS来使用实现阻断拦截的功能
0x02 部署位置
家庭网络中,一般只有一个路由器,剩下的就是电脑等设备,使用网线连接路由器和主机终端,IPS部署位置一般选择串联,这样不用改变原来的网络结构,如下图
大概就是这样串进去就行了,注:这里是选择的IPS模式,所以需要两个网卡,一进一出,Suricata将负责将数据包从一个接口复制到另一个接口。复制过程中过一遍内置规则集,发现命中则拦截阻断此流量
0x03 实验环境
注:surucata必须要有两网卡,一进一出,生产环境根据自己网络配置好,串进去就行,不然很容易网络风暴。。。。
先将vmnet4的dhcp服务禁用,
攻击机和靶机的ip,可以看到攻击者和靶机并不是一个网段,但是当suricata启动之后,自身所带的两个网卡就会相互复制流量,这时候suricata的作用就会相当于一根网线,将靶机攻击机和靶机连接起来,攻击者就可以访问靶机了
关于suricataips的配置可参考官网
随便写条测试规则。因为现在是ips,所以动作要换成drop;alert 记录所有匹配的规则并记录与匹配规则相关的数据包; drop ips模式使用,如果匹配到之后则立即阻断数据包不会发送任何信息
未启动suricata之前,攻击机不能访问靶机
启动suricata之后,靶机ip会发生变化,变成 和攻击者同网段的,随后攻击者可以访问靶机
根目录放置两个文件
攻击者访问baidu.php文件被拦截,ips规则生效
审核编辑:刘清
-
IDS
+关注
关注
0文章
27浏览量
16152 -
路由器
+关注
关注
22文章
3728浏览量
113701 -
IPS
+关注
关注
1文章
83浏览量
35582
原文标题:如何搭建属于自己内网全流量的IDS/IPS
文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论