建立一个正确安装和调整良好的IDS / IPS系统可以费时。如果你曾经试图建立一个全功能哼系统,你熟悉它需要的时间。如果你想获得具有IPv6功能的IDS系统,并会很快,那么你应该看看安全洋葱。一旦你得到它的工作也有一些低成本替代捕获的数据包,并观察它们。
IPv6安全使用Snort
许多企业已经开始在他们的互联网边缘的环境中部署IPv6。当他们这样做,他们希望有平等的保护,为他们的IPv6流量,因为他们有他们的IPv4流量。然而,他们目前的IPv4的安全系统可能不会给他们所有的IPv6功能,他们希望。
这样做,你可能要在实验室测试各种IPv6的安全系统,并获得了坚实的哼系统启动和运行检测一些常见的IPv6攻击包。然而,当你开始得到一哼系统与IPv6的工作,你就会意识到,任务是要花费一些时间。该Snort的2.9.0.5在Fedora 14由尼克·摩尔书面文件,是一种优良的文档,非常详细和一个巨大的资源。
然而,随着夏季剩余的只有少数珍贵的日子,你可能更愿意享受户外活动,而不是在实验室里度过丰富大量的时间。因此,你可能会寻找一个快速简便的方法来设置,可以进行IPv6连接的安全监控系统。
在自助游安全洋葱
我听说过这个东西叫做“安全洋葱”最近我的一个朋友参加了全美黑帽2011 TCP / IP武器学校3.0由理查德·Bejtlich教陶安全。他兴高采烈地讨论类,并提到安全洋葱给我。我听到有关安全主题的理查德Bejtlich发言在会议上和我很喜欢他的极有价值的博客,所以我知道这是一个坚实的建议,看看这个工具。你应该尽量购买副本他的书如果你想要一些非常实用的防御安全系统的信息。
安全洋葱是有许多入侵检测工具预装,准备去一个基于Xubuntu的活CD。安全洋葱配有工作哼,Suricata,Sguil和Squert组态。它配备了许多其他有用的工具,在一个不错的整洁包的所有包。谢谢道格·伯克斯帮助我们所有的人节省时间得到一个现成的IDS并打算很快。
这是很容易找到的主要安全洋葱网站,并找到有关如何使用它的有用信息。该博客是非常有用的。你应该通过所有历史的文章阅读,并通过阅读介绍可用。该常问问题还提供了让你开始信息,并帮助您自定义安装有用的花絮。
一旦你的系统启动和准备和配置的接口,可以配置IPv6自定义Snort规则。另外,对配置IPv6规则,所以这里有一些样本参数车位有限数量的信息。测试您的配置可能要设置一些简单的规则来捕获IPv6的ping命令。
警报IP ICMP任何 - >任何任何(MSG: “IPv6PING请求”; ITYPE:128; CLASSTYPE:ICMP事件; SID:2000001;启:1)警报IP ICMP任何 - >任何任何(MSG:” IPv6PING-回复“; ITYPE:129; CLASSTYPE:ICMP事件; SID:2000002;启:1)
下面是一个简单的规则,在包含路由报头的IPv6数据包匹配。
警报IP任何任何 - >任何任何(MSG: “IPv6的路由报头”; ip_proto:43; CLASSTYPE:策略的违反; SID:20000005;启:1)
根据你想捕捉你可以自定义这些,以满足您的需求是什么。
低成本丝锥和替代品
监控恶意活动的IP网络连接有时谈何容易。您可以SPAN /端口镜像会话中可用的数量是有限的。您可能希望获得分组监视开关为了帮助您在您的环境中直观看到多个监控点。您的组织可能会幸运地得到一种Anue系统要么Gigamon系统分组监测开关。
但是,如果你的预算,那么你可能需要其他一些低成本的替代品,以获得数据包的安全洋葱IDS / IPS。您可能能够获得一个较旧的的10 / 100BaseT抽头该作品就好在你的实验室,因为你正在做简单的测试,不需要端口GigabitEthernet速度。
我的一个朋友最近告诉我一个视频演示由托尼·福图纳托(高级网络性能专家在该科技公司)如何使用NETGEAR GS108e作为网络抽头。此开关具有图形用户界面允许您配置端口镜像。我这个问题看,唯一的问题是,我没有任何的Windows XP的计算机实验室,我可以运行在这ProSafe效用。
安全洋葱提到在他们的网站了解这个公司DualComm具有一些低成本的抽头/ SPAN切换。你可能想尝试让你的手在其中的一个按键也因为他们是USB供电和外观漂亮便携。
结论
我建议您下载安全洋葱和为自己设定了一个简单的测试环境。这是,如果你赶时间使用一个很好的工具。一旦你的安全系统洋葱工作,然后你就可以开始用它来获得更多的了解关于IPv4和IPv6协议的安全性和帮助安全威胁保护您的组织。
斯科特