「说明」 应用服务器IP/web-source/index.html提供实验所需软件工具及相关参考资源。 一.搭建网络环境 使用主机A~F搭建实验网络环境,如图2-3所示。 图2-3 实验主机角及系统环境要求如下表。 实验主机 | 实验角 | 系统环境 | 主机A | 网段I内工作主机 | Windows 轨道根数 | 主机B | 网段I入侵检测器 | Linux | 主机C | 网关G | Linux | 主机D | 管理主机M | Windows | 主机E | 网段II内工作主机 | Linux | 主机F | 网段II入侵检测器 | Linux | | | |
1.主机C网关环境配置 主机C添加两块以太网卡(共三块),为三块网卡静态分配IP地址,并开启IPv4数据包转发功能(静态IP如下)。 2.其它主机网络环境配置 主机A、B、D、E、F静态分配IP地址,设置默认网关,并在本机ARP缓冲表中绑定网关IP/MAC地址对。 二.软件安装与配置 「注」 对系统环境已安装软件,实验期间允许对其进行覆盖安装。 1.主机C(网关G)软件安装与配置 (1)主机C安装SnortSam代理,并配置f文件。要求如下: ● SnortSam代理监听端口为30898; ● 接收网段I、II内检测器发出的阻塞请求; ● 将管理主机加入白名单列表; ● 后台运行SnortSam代理 (2)设置snortsam代理开机自启。 (3)安装Webmin,确保管理主机能够对主机C进行远程管理。Webmin登录界面如图2-4所示: 图2-4 2.主机B、F(检测器)软件安装与配置 (1)安装支持SnortSam输出插件的Snort入侵检测系统,并配置f文件。要求如下: ● 将配置文件f与规则文件*.rules放入同级目录中; ● 指定报警输出插件为alert_fwsam; ● 利用Snort安装源中的S99snort启动脚本,实现Snort作为服务启动、停止和重新启动; ● 设置Snort开机自启。 (2)安装Webmin及Snort扩展模块,并修改Snort IDS Admin配置信息,要求如下: (3)安装SnortSnarf,编写执行脚本snortsnarf.sh。每隔30分钟执行一次snortsnarf.sh脚本。由SnortSnarf生成的静态Web页面如图2-5所示: 图2-5 三.软件安装与配置 1.主机C(网关G)防火墙设置 主机C修改/etc/sysconfig/iptables文件,重新配置缺省的防火墙规则,规则实现访问控制如下: ● 设置filter表INPUT规则链默认DROP策略; ● 允许接收内部回环数据(lo网络接口); ● 允许接收eth0网络数据(管理主机所在网络);) ● 允许源172.16.0.253(网段I入侵检测器)访问网关30898/tcp服务(SnortSam代理服务端口); ● 允许源192.168.0.253(网段II入侵检测器)访问网关30898/tcp服务器; ● 设置filter表FORWARD规则链默认DROP策略; ● 允许对eth1<->eth2数据流进行转发; ● 允许对eth0->eth1的网络会话进行转发; ● 允许对eth0->eth2的网络会话进行转发。 2.主机B、F(检测器)防火墙设置 主机B、F修改/etc/sysconfig/iptables文件,重新配置缺省的防火墙规则,规则实现访问控制如下: ● 设置filter表INPUT规则链默认DROP策略; ● 允许源10.10.0.50(管理主机)访问检测器10000/tcp(Webmin)、80/tcp服务; ● 允许检测器访问网关30898/tcp服务。 四.入侵检测与网关G联动测试 1.测试用例 管理主机远程控制检测器(主机B),添加snort规则,对来自主机A、目的地址为主机E的ICMP回显请求数据进行报警,验证网关G对主机A的后续跨网段访问是否阻断成功。 管理主机远程控制检测器(主机F),添加snort规则,对来自主机E、目的地址为主机A的80/tcp访问数据进行报警,验证网关G对主机E的后续跨网段访问是否阻断成功。 2.用例实施 |