原文地址:http://drops.wooyun.org/%e8%bf%90%e7%bb%b4%e5%ae%89%e5%85%a8/3874

0x00、背景

黑客攻擊是不可避免的，常在江湖飄，哪有不被黑（誰也不敢說自己的網絡是絕對安全的）。被黑了怎么辦？？？肯定是第一時間修復漏洞和清除后門啦！該怎么修復漏洞了？？？漏洞又在那里了？？？這個時候研究IDS的人就出來：

IDS：全稱入侵檢測系統。專業上講IDS就是依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

IPS：比IDS再高大上點的就是IPS，IPS全稱是入侵防御系統。IDS是發現并不做動作，IPS是在IDS發現了攻擊企圖或者行為后，采取動作。

0x01 Pfsense&Snorby簡介

pfSense是一個基于FressBSD，專為防火墻和路由器功能定制的開源版本。它被安裝在計算機上作為網絡中的防火墻和路由器存在，并以可靠性著稱，且提供往往只存在于昂貴商業防火墻才具有的特性(如vpen、IDS、IPS)。

Snorby是一個Ruby on Rails的Web應用程序，網絡安全監控與目前流行的入侵檢測系統（Snort的項目Suricata和Sagan）的接口。該項目的目標是創建一個免費的，開源和競爭力的網絡監控應用，為私人和企業使用。

0x02 Snorby的安裝部署

首先要設置安裝源（要使用epel源）

Snorby git官網https://github.com/Snorby/snorby

這里告訴你怎么安裝，我就不啰嗦了。

詳細安裝看這里：http://hi.baidu.com/huting/item/7a60eb725e66cb206e29f6b8

（只要安裝第一篇即可。）

在這里snorby只是對數據進行分析，并不抓取數據，抓取數據由pfsense里面的Suricata來抓取。抓取到的數據保存到snorby所在服務器的mysqld中，snorby通過調用本機mysql數據庫中的數據進行分析。

所以Snorby服務器只要放到pfsense可以訪問到的地方即可以了。

可以發到外網么？？？應該也可以的，這里就沒去試了。

安裝好后，如下：（默認用戶名：[email protected]，密碼：snorby）

點擊上面Settings，下面有個時間設置（注意這個很重要，時間不對很麻煩的）

下面那個500000是一個很重要的參數。（這是一個峰值）

0x03 pfsense的部署與配置

Pfsense的安裝這里不介紹了，網上到處都是。

Pfsense是一款防火墻肯定是部署在網絡的邊界啦！這個也沒啥好說的。

A. 下載并安裝Suricata軟件包

System->Packages,如下圖：

注意：在做這之前要設置好dns，不然無法解析域名，你就無法下載了。

B.全局配置（Global Settings）

安裝完成后，在Services中找到Suricata，對其進行基本配置。

界面如下

我們首先在Global Settings(全局設置)進行基本設置，全局設置分為三部分。

1.規則的下載

應該是有四種選擇，第二和三是要code的。

不知道申請要不要錢，我這里就沒去試了。

2.是規則的更新設置

我這里設置的是一周一次。

3.一般設置

這里就有一個很關鍵的設置了。

Remove Blocked Hosts Interval 我這里設置的是15分鐘，默認是NEVER。

這個是什么意思了？？其實這個涉及到后面要提到的IPS，當IPS發現威脅時候就會將目標添加到Blocked，在Blocked里面的ip地址將不允許通過防火墻。

我這里設置15分鐘，也就是15清除一次Blocked里面的ip地址。

C.其他設置

規則庫下載

上面已經設置好了，這里點擊Check，下載規則文件。

pass lists（這里就是一個白名單）

這里不多介紹，下面提到IPS在說這個。

0x04 Pfsense+Snorby==IDS&IPS

啟用IDS功能 Pfsense關鍵配置 添加監控網卡

這里我只有兩張網卡，我選擇的是WAN，外網口。（要勾選上面那個框框）

設置Iface Categories

這里，我是選擇所有，然后保存。（可以工具自己的需求選擇） 設置Iface Rules

這里選擇Auto-Flowbit Rules(自動轉發規則)，然后應用。

設置iface Barnyard2(關鍵)

下面那個啟用mysql是關鍵，這里填寫Snorby服務器上的mysql的信息

（注意：mysql要開啟遠程訪問，上面的每頁做完一次配置，要save一次）

基本的IDS配置就完成了，如下圖。

點擊上面的紅叉叉即可以啟動。

啟動后的效果。

如果成功了的話，在snorby上面可以看到效果的，效果圖如下：

我來掃下看看效果，我用nmap輕輕的掃下

我在虛擬機里面弄的，那是相當的卡啊！！！！！！

牛逼吧！直接就看到了你是用nmap在掃描。

啟用IPS功能

在WAN Settings里面有一個Alert Settings，如下圖：

設置后選保存，然后重啟Suricata生效。

第二個勾很霸氣，發現某ip有危險，直接斷開所有與此ip的連接。

IPS這里重點提下白名單的設置

第一步、設置aliases

Firewall下面的Aliases(自己添加)

第二步、設置Pass Lists

Save，

在WAN Settings設置里面

點擊保存，重啟Suricata生效。

還有最后一個設置，就是被封的ip什么時候解封。

上面提過的Global Settings里面的General Settings。

這里設置的是15分鐘。

也就是15分鐘后，被封的ip自動解封。

說明：本文旨在拋磚引玉，大家大可以根據自己的需求自行配置。文章寫的不是很詳細，如果詳細寫，估計得20來頁。