broom7946
2023. 2. 9. 17:19
침입감지 시스템(IDS), 침입예방 시스템(IPS)과 네트워크 모니터링
$ snort
----BT
ifconfig eth0 promisc
->모든 rules 파일
->homenet 지정
->ssh.rules 정책 추가
$ cat -n /etc/snort/rules/icmp.rules
->외부네트워크상에 icmp내부
네트워크에 어느 호스트에게라도 접근하면 alert를 보내게 되어있다.
msg 와 sid(필수)만 있어도 된다.
any any - 어느 네트워크에 누구든지
->경고 tcp프로토콜로
내부든 외부든 누구든지 어느 네트워크에서 어느 호스트가
->위와 같이 icmp,
port scan 에서도 경고 print
->restart
->실행하고
->ssh 우분투 로그인
->BT에서 확인가능
->fail2ban 설치
->fail2ban 설정 파일
->loglevel = WARNIG 으로 변경(
/etc/fail2ban/jail.conf
->저 주소는 로그인에 3번
실패해도 JAIL에 갇히지 않는다.
->앞으로 SSHD에
대한 규제가 들어가있다
->아직은 없다.
->BT에서 3번
틀렸다.
->3번 실패했고 141(BT)은 ban
$ DenyHosts
wget http://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz --no-check-certificate
# nano -c denyhosts.cfg
->서비스 block 라인
네트워크 실행
->실행
->확인
->앞에ALL가 서비스
뒤에ALL가 호스트(allow에서 허용한 것들 이외에는 모두
거부)
->우분투, 로컬호스트는
허용(허용한 주소만 가능)
->58줄 (2주)
->오류 뜨면 파일 지워주고 재실행
->실행
# cat /var/log/denyhosts
->맨 밑줄 확인
->533줄 주석 제거
->재실행 후 확인 (이게
fm)
# tail -f /var/log/secure
->우분투 접속, BT는
못함