网络安全蓝队基础(面试手册)-满满干货快来收藏

admin 2025年1月25日02:08:58评论26 views字数 11128阅读37分5秒阅读模式

蓝队基础

红队对蓝队就是要做到知己知彼,百战不殆,知道如何防御知道怎么进攻。

同样的蓝队对红队也是这样,知道怎么进攻知道如何防御。

目录

  • 企业网络架构概述
    • 高层管理职责
    • IT 管理范畴
    • 影子 IT 隐患
    • 中央技术团队构成
    • 安全部门架构
    • 信息安全管理成熟度模型(ISM3)
    • 安全职能解析
    • 安全团队成员要求
  • 典型企业网络分区
  • 模糊的边界
  • 外部攻击面
  • 身份管理
  • 目录服务
  • 企业数据存储
  • 企业虚拟化平台
  • 数据湖
  • 企业数据库
  • 传统存储形式
  • SOC管理流程
  • 网络杀伤链
  • 日志收集
  • 监控告警
  • 事件响应
  • Cyber Hunting(网络狩猎)
  • 威胁情报
  • 安全管理
  • 零信任网络
    • 零信任架构的核心在于其四个关键特征:
  • 安全和基础设施
  • SABSA多层控制策略
  • 管理事件响应的方法
  • 应急响应准备
    • 一、风险评估与威胁分析
    • 二、人员、流程和技术
    • 三、控制
    • 四、成熟度评估
    • 六、演练与沟通
    • 七、事件检测与响应
    • 八、报告与总结
    • 九、入侵检测与防御
    • 十、安装依赖包与配置Snort
    • 文章精选
    • 学习交流群

企业网络架构概述

企业技术与信息团队的管理架构并非千篇一律,而是受到企业规模大小、所属行业特性以及业务实际需求的影响,不过,其中仍存在着一些共通的框架与原则。

高层管理职责

  • CIO(首席信息官):承担着企业信息系统战略规划、管理与优化的重任,确保信息技术与企业战略无缝对接,方向一致。
  • CTO(首席技术官):把控运营技术的整体走向,在技术创新、研发活动以及技术选型等关键环节发挥主导作用。

IT 管理范畴

  • 中央系统:对企业内部全部 IT 资源,涵盖软件、硬件以及数据,实施集中化管理,保障资源调配的高效与有序。
  • 自带设备(BYOD):允许员工自带移动设备,如手机、平板电脑接入企业网络,但同时必须制定相应的安全策略与管理规定,以此防范潜在风险。

影子 IT 隐患

员工在企业内部搭建的小型网络,或是使用未经授权的 IT 设备与软件,这类行为被称为影子 IT。其极大地增加了企业的安全风险,必须加以严格管理与控制。毕竟,这就如同在内网中悄然插入了一个后门,攻击者一旦发现这个接口,便极有可能一举突破内网防线,造成严重后果。

中央技术团队构成

  • 客户服务团队:专注于提供技术支持与服务,工作站和笔记本的日常维护以及服务台支持都在其职责范围内。
  • 基础设施团队:负责网络、服务器机群的规划、部署以及后续的维护工作,是企业技术运行的坚实基础保障。
  • 数据库管理团队:致力于数据库的存储、备份以及恢复工作,全力确保数据的完整性与安全性,守护企业的核心数据资产。
  • 技术团队:通常以项目为驱动,承担采购系统、维护系统以及建立技术运营团队的任务,并依据信息技术基础设施库(ITIL)开展日常操作与管理,保障各项技术工作的规范化运行。

安全部门架构

  • 由 CISO(首席信息安全官)领衔,负责制定和执行企业整体的信息安全策略、规划以及管理工作。安全部门需要向 CIO、CTO、CFO(首席财务官)和 CRO(首席风险官)汇报工作,确保信息安全与企业战略、财务状况以及风险管理协同共进,保持高度一致。

信息安全管理成熟度模型(ISM3)

  • 该模型详细描述了企业安全运行和管理流程的成熟度等级,为企业提供了极具价值的改进信息安全管理的指导方向,助力企业逐步提升信息安全水平。

安全职能解析

  • 涵盖战略、战术以及运营安全的各个方面。由 CISO 负责运营管理,确保企业信息安全策略能够得到有效实施,并实现持续改进,不断适应企业发展与外部环境变化。

安全团队成员要求

  • 安全团队成员不仅要熟悉企业文化、组织架构以及关键人员,还需深入了解推动业务成功的关键流程。如此一来,有助于安全团队在企业内部树立积极正面的形象,进而提高全体员工的信息安全意识和管理水平,营造良好的信息安全氛围 。

典型企业网络分区

企业网络通常会划分成不同的安全区域,以此来精准控制各区域之间的访问权限。通过划分安全区域,能够有效抵御来自外部和内部的攻击。

  1. DMZ(非军事区):起到隔离内部与外部系统的作用,为安全访问提供可靠的通道。
  2. 蜜罐:用于引诱入侵者,并对其攻击行为进行深入分析,收集相关的攻击信息和行为模式。
  3. 代理:对外提供有限的服务,从而有效保护内部网络,使其免受外部攻击的威胁。
  4. VPN:员工与合作商可通过 VPN 安全连接内网,确保远程访问过程中的安全性和保密性。
  5. 核心网络:通常采用物理分离和冗余设计的方式,以此保障网络的稳定性和可靠性。
  6. 内部网络:涵盖有线、无线和 VPN 等多种接入方式,为企业提供全面的网络覆盖和便捷的接入服务。
  7. 安管区:主要负责管理日志、告警和事件,具备实时的安全监控和快速响应能力。

模糊的边界

随着云计算和 SaaS 服务(软件即服务)的日益普及,传统网络结构逐渐减少,越来越多的企业选择在云中部署基础架构或使用 SaaS 服务。当用户从企业工作站登录到云或 SaaS 服务时,企业需要提供身份凭据同步机制,甚至是 SSO(单点登录)解决方案。云服务可能会涉及在本地运行的硬件,例如 Azure AD Connect 系统等。数据通过内部和外部服务进行管理,比如 Oracle 数据集成器等。工作负载能够通过 Oracle 服务总线或戴尔云平台等,在跨混合环境中实现共享,进而达成资源的灵活配置和优化利用。

外部攻击面

在收集开源情报后,需绘制网络范围内的所有节点,并关闭无用节点,以此来减少攻击面。可以使用 nmap 等工具进行网络扫描,例如通过 nmap -sn /24 命令来发现网络中的活跃主机。要重点关注那些开启了 SSH 服务但未加固的设备,及时进行加固和修复。利用 nmap 等工具进行服务探测和版本识别,比如使用 nmap -sT -sV -O -p ip-address 命令来获取目标主机上开放的服务和版本信息。对于大型网络,主机和应用程序很容易出现缺少补丁或配置存在漏洞的情况,可使用漏扫软件(如 Nessus、AWVS 等)验证漏洞的存在性,并及时进行修复。使用 searchsploit 等工具搜索相关漏洞利用脚本,例如通过 searchsploit 命令来查找针对特定服务和版本的漏洞利用脚本,这有助于安全团队及时了解并应对潜在的威胁和漏洞。按照主机发现、端口扫描、详细信息扫描、脚本漏洞扫描的流程,指定攻击思路与策略,进而开展攻击行动。

身份管理

身份管理是确保企业信息安全的关键环节,它涉及对系统中所有用户、设备和服务身份的识别、验证和管理。

  1. 识别 Windows 典型应用:在 Windows 环境中,常见的应用和服务有 Microsoft Exchange(邮件服务器)、SharePoint(文档协作平台)和 Active Directory(目录服务)。可使用网络扫描工具,如 sudo nmap -sT -sV somesystem.com,来探测目标系统上开放的服务和端口,从而识别这些应用和服务。
  2. 识别 Linux 典型应用:在 Linux 环境中,OpenSSH(安全壳协议)用于远程登录和管理,Samba 用于文件和打印共享。同样,可借助网络扫描工具来识别这些服务。
  3. 识别 WEB 服务:企业应用或边界设备上的 WEB 服务也是身份管理的重要组成部分。可以使用 whatweb http://someweb.org等工具来识别 WEB 服务的类型、版本和配置信息。
  4. 识别客户端设备:在内网环境中,客户端设备的身份管理同样不可忽视。由于管理员的疏忽或配置不当,终端设备可能会暴露在网络中。因此,需要定期对内网中的客户端设备进行扫描和识别,以确保它们符合企业的安全策略。

身份和访问管理

身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常会维护自己的身份存储,其中包括用户账号和服务账号。为了保障系统的安全性,普通用户不能执行系统级配置管理命令,需要使用 sudo 权限或以管理员身份运行相关操作。

目录服务

LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议,广泛应用于 AD(Active Directory)和 OpenLDAP 等目录服务中。通过域集中管理,能够实现资源的集中存储和管理,包括组策略的应用和更新。

企业数据存储

随着数据分析的兴起以及监管要求的不断加强,企业需要集中存储和管理大量的数据。常见的存储方案包括 SAN(存储区域网络)和 NAS(网络附加存储)。SAN 由高速网络连接多个存储设备构成,能够提供高性能的数据存储和访问能力;而 NAS 则是单个设备拥有大量存储,通过本地网络供服务器和工作站访问。此外,企业还可以使用串行局域网(SoL)协议,使串行数据基于 HTTPS 传输,从而提升数据传输的安全性和可靠性。

企业虚拟化平台

虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台有 VMware 的 vSphere 和 vCenter、Proxmox 等。这些平台能够实现资源的动态分配和优化利用,提高系统的灵活性和可扩展性。

数据湖

数据湖是一个用于保存大量不同形式数据的大型存储库,结合数据分析能够为企业带来额外的价值。Hadoop 是企业中常见的数据湖解决方案之一,另一种本地解决方案是 DataBricks。此外,还有基于云的大数据解决方案,如 Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage 和 Azure HDInsight(基于云的 Hadoop)等。围绕数据湖形成了一个完整的技术生态,提供数据摄取管道和数据分析服务。然而,数据湖也面临着安全风险,例如 Hadoop 的 YARN 服务配置错误可能会导致恶意 HTTP 请求攻击,并使攻击者获得系统命令行 shell。因此,必须加强对数据湖的安全管理和监控。

企业数据库

企业数据库是存储和管理业务数据的重要工具。常见的 SQL 数据库包括 Oracle SQL、Microsoft SQL Server 和 MySQL 等;嵌入式 SQL 数据库则有 MariaDB、PostgreSQL 和 SQLite 等。此外,还有非 SQL 数据库,如 MongoDB、Redis、Azure CosmosDB 和 AWS DynamoDB 等,它们提供了不同的数据存储和查询方式,以满足企业多样化的需求。

传统存储形式

在传统存储形式中,共享驱动器是一种常见的资源共享方式,它允许用户通过网络协议(如 SMB/CIFS)访问远程服务器上的文件和文件夹。使用 smbclient 命令行工具,可以列出远程服务器上的共享资源,以及从共享资源中下载文件。例如,使用 smbclient -L server -U user 命令可以列出指定服务器上的共享资源,而 smbclient someservertest -U user 则可以连接到名为 test 的共享资源,并使用 get 命令下载文件。在 Windows 系统中,还存在一些默认的共享资源,如 C(所有驱动器的默认共享)、ADMIN(管理共享)和 IPC$(管道,用于与其他计算机互操作的特殊连接器),这些默认共享通常用于系统管理和维护任务。

SOC 管理流程

SOC(Security Operations Center,安全运营中心)是企业信息安全计划的重要组成部分,负责监控、分析和响应网络中的安全事件。为了将 SOC 纳入企业的整体信息安全管理体系,需要了解 SOC 如何与 ISMS(Information Security Management System,信息安全管理体系)相适应。ISO27001 标准和 NIST 网络安全框架是指导企业建立运营安全程序的两个重要标准。ISO27001 标准提供了一种基于控制方法的审计和认证框架,而 NIST 网络安全框架则更注重预防和应对网络攻击,包括识别、保护、检测、响应和恢复五个阶段。然而,这些标准并没有具体提出建立 SOC 的要求,所以每个企业安全运营的组织方法都有所不同。

信息安全生命周期通常包括四个阶段:安全策略、能力设计、实施和运营。戴明环(PDCA)是信息安全生命周期的早期表现形式,它包括计划、做、检查和行动四个步骤。而 SABSA 框架则对信息安全生命周期进行了改进,将其划分为战略规划、设计、实施和管理测量四个阶段。从渗透测试的角度来看,掌握 SOC 的日常操作活动是为了避免被检测到;从防御者的角度来看,掌握 SOC 完整的生命周期视图可以确保其有效性。SOC 的目标是通过监控和事件响应为基础设施和操作提供安全保障。

SOC 通常分为不同的层级,每个层级承担不同的任务:

  1. L1:负责提供监视告警、进行分类并解决一些小问题。
  2. L2:对日常事件进行分析、遏制并解决。
  3. L3:承担损失控制、深入调查和取证分析等 IR(Incident Response,事件响应)事件。
  4. L4:负责安全管理工作,包括日常、非事件相关的程序,如开设账户、访问授权审查、定期安全报告和其他主动安全程序。

网络杀伤链

网络杀伤链模型描述了网络攻击的七个阶段,这些阶段构成了攻击者从信息收集到实现攻击目的的完整过程:

  1. 侦察(Reconnaissance):攻击者对目标进行信息收集和探测,了解目标的网络架构、系统配置、潜在漏洞以及用户活动等情况,为后续攻击做准备。
  2. 武器化(Weaponization):根据侦察获取的信息,攻击者将恶意软件或攻击工具进行定制和包装,使其能够利用目标系统的特定漏洞,将其转化为具有攻击性的 “武器”。
  3. 投送(Delivery):将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中,常见的投送方式有电子邮件附件、恶意链接、受感染的移动存储设备等。
  4. 利用(Exploitation):恶意软件一旦投送成功,就会利用目标系统存在的漏洞触发并执行恶意代码,从而获取对目标系统的初步访问权限或控制权。
  5. 安装(Installation):在成功利用漏洞进入目标系统后,攻击者会在目标系统内安装额外的恶意软件组件,如后门程序、远程控制工具等,以便长期、稳定地控制目标系统。
  6. 指挥与控制(Command & Control):安装在目标系统内的恶意软件会与攻击者控制的外部服务器建立连接,攻击者通过此连接远程对目标系统下达指令、获取数据并进行进一步操控。
  7. 行动(Action):这是网络攻击的最后阶段,攻击者通过已建立的指挥与控制通道,在目标系统上执行预期的恶意活动,如窃取敏感信息、篡改数据、发起拒绝服务攻击等,以达成攻击目的。

日志收集

日志收集是网络安全监控的基础工作,它需要从各种关键日志来源收集数据,这些来源包括但不限于代理服务器、邮件服务器、Web 服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。为了有效地收集这些日志,需要配置日志源使其生成日志,并将日志转发给日志收集器,然后上传到 SIEM(安全信息和事件管理)系统。在 Windows 系统中,可以利用事件日志收集和转发机制来获取日志数据;在 Linux 系统中,通常使用 syslog 来收集和聚合日志,并将其转发到指定的日志收集器。此外,随着物联网技术的发展,楼宇管理和工控网络日志也成为重要的日志来源,这些系统现在通常连接到企业网络,且可能成为攻击者的主要目标。

日志搜索与分析

收集到的日志数据需要进行有效的搜索和分析,以便及时发现潜在的安全威胁。Splunk 等日志管理工具具备强大的日志收集、存储、搜索、分析和可视化功能。此外,SIEM 系统能够关联日志与活动,识别其中的可疑内容,而 Splunk 也可以作为 SIEM 解决方案之一。

监控告警

监控告警是网络安全响应的重要部分。告警不仅可以来自 SIEM 系统,还可以直接来自安装在系统和网络中的传感器实时告警系统,如 IDS(入侵检测系统)设备。此外,事后告警系统,如 AIDE(监视系统文件的修改)等,也能提供重要的安全信息。在某些情况下,事件可能不会从日志或警报中触发,例如攻击者更改用户密码后,用户可能会直接联系管理员进行通告。

事件响应

事件响应是网络安全管理的关键环节。L2 级分析师在收到 L1 级的工单后,会进行分析评估,并按照相应的事件响应流程进行处理。数字取证分析是网络安全的一个专门领域,通常由 L3 级分析师负责。他们会以合法的方式对内存、硬盘等存储设备进行取证,以保护数据的完整性。

Cyber Hunting(网络狩猎)

网络狩猎是 SOC(安全运营中心)L3 级分析师的一门新兴学科。它假设网络已被渗透,通过主动寻找恶意软件(或入侵者),争取在攻击造成损失之前发现异常。网络狩猎需要寻找一系列指标,以还原网络攻击的时间线。MITRE ATT&CK 框架是网络威胁猎人的关键资源,它提供了攻击者行为方式及其使用工具的信息,有助于发现攻击痕迹。网络威胁搜寻需要对网络的正常状态有深入了解,并能够识别入侵和异常活动。

威胁情报

威胁情报是网络安全管理的重要组成部分。妥协指标(IOC)是用于识别恶意软件或恶意活动的签名,通常以文件名和哈希值的形式呈现。由于新威胁信息的规模庞大,手动获取和记录威胁情报已不再可行,因此自动化威胁管理变得至关重要。MITRE 开发了结构化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获取威胁情报,并将其输入 IDS、SIEM 等工具,从而实现威胁情报的近乎实时更新,以有效应对已知威胁。此外,AlienVault OTX 等开放威胁交换服务也提供了手动访问危害指标的功能。

安全管理

安全管理是一组确保公司业务安全的日常流程,涵盖身份管理(IAM)、访问控制、特权管理(PAM)、媒体消毒、人事安全、证书管理以及远程访问等多个方面。IAM 是任何安全程序的基础,也是黑客攻击的主要目标。访问控制需要配置和验证用户访问系统的权限,并制定审计规则。PAM 系统使非特权用户能够请求特权访问,以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护 PKI 架构的完整性至关重要。在后疫情时代,远程访问已成为攻击的重点,因此需要加强对其的安全管理。

零信任网络

2010 年谷歌遭受极光行动网络攻击后,其内部网络管理方式发生了重大变革,并创造了 “零信任” 一词,用于描述一种始终假设内部网络可能已被破坏的运行方式。这种安全理念在 NIST 特别出版物 800-207: 零信任架构中得到了正式确立,现已成为所有美国政府机构必须强制实施的安全标准。

零信任架构的核心在于其四个关键特征:

  1. 即时访问(Just-In-Time Access, JITA):用户或服务仅在需要时才被授予访问权限,且权限具有时效性,任务完成或时间过期后,权限即被收回。
  2. 只需足够的访问权限(Least Privilege Access, LPA 或 JEA, Just Enough Access):用户或服务仅被授予完成特定任务所需的最小权限集,以降低潜在的安全风险。
  3. 动态访问策略:访问控制策略会根据用户身份、设备状态、位置、时间等多种因素动态调整,以适应不断变化的安全环境。
  4. 微观分割:将网络划分为多个小型、相互隔离的安全区域,限制攻击者在网络内的横向移动能力。

安全和基础设施

在构建零信任网络的过程中,还需要关注以下安全和基础设施方面的要素:

  1. 数据备份 / 恢复:数据备份作为重要的运营技术,在发生灾难或攻击事件时,是恢复业务连续性和数据完整性的关键安全资产。
  2. 变更管理:安全策略需要与系统的变化过程紧密关联,确保在提交变更前充分评估风险,并制定详细的变更管理计划,包括推出计划、回滚计划、影响评估和依赖关系清单。
  3. 管理物理环境:数据中心环境的物理和电子安全同样重要,包括物理访问控制、机房环境监控(如功率、温度、气压等)。

有效的事件响应机制是零信任网络不可或缺的部分。事件管理生命周期通常包括以下几个阶段:

  1. 准备:充分了解系统及现有控制措施,通过培训和演练提高组织的应急响应能力。
  2. 响应:及时识别安全事件、进行调查,并采取行动以应对事件并恢复业务服务。
  3. 后续:事后进一步调查、形成报告、总结经验教训,并据此改进安全流程和策略。

SABSA 多层控制策略

SABSA(Sherwood Applied Business Security Architecture)多层控制策略提供了一种全面的安全框架,包括威慑、预防、遏制、检测和通知恢复等多个层次的控制措施。

管理事件响应的方法

NIST 特别出版物 800-61: 计算机安全事件处理指南提供了一种标准化的事件响应方法,包括检测和分析、遏制、根除和恢复以及事件后活动等阶段。此外,PDCA(Plan-Do-Check-Act)循环也被广泛应用于事件响应生命周期的优化和持续改进中。

应急响应准备的全面规划

在搭建完备的应急响应体系时,我们需要从多个层面做好准备工作,涉及风险评估、威胁分析、人员安排、流程设计、技术配置,以及持续的控制和成熟度评估等方面。

一、风险评估与威胁分析

  1. 风险评估:深入探究组织的技术资产、系统以及数据状况,明晰它们对于业务的重要程度,从而精准确定需要重点保护的对象。
  2. 威胁分析:运用相应的策略、技术和实践手段,去识别潜在的风险点,并依据这些风险点制定和落实针对性的控制措施。

二、人员、流程和技术

  1. 组建团队:成立专业的应急响应团队,清晰界定团队中每个成员的角色和责任。
  2. 配备工具:为应急响应团队提供必要的工具和设备,例如日志分析工具、网络扫描器等,助力其高效开展工作。
  3. 制定流程:针对不同类型的安全事件,精心制定详细的应急响应流程和操作脚本。
  4. 定期演练:定期组织应急响应演练,以此提升团队的实际操作能力和协同工作效率。

三、控制措施

  1. 编制手册:编写应急响应手册,明确在不同安全事件发生时应遵循的标准操作程序。
  2. 事前预防:通过制定和执行严格的安全政策与流程,尽可能降低安全事件发生的概率。
  3. 事中支持:在安全事件发生时,提供必要的数据支持和分析工具,帮助团队快速锁定问题所在。
  4. 事后恢复:确保建立可靠的数据备份和恢复机制,以便在事件发生后能够迅速恢复业务正常运行。

四、成熟度评估

  1. 借助工具:运用 CREST 提供的成熟度评估工具,持续对组织的应急响应能力进行评估和改进。
  2. 培训提升:结合理论知识培训和实践技能培训,全面提升团队的整体应急响应水平。

五、应急响应手册内容

该手册详细规定了在各类安全事件发生时应执行的标准操作程序,涵盖扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别都包含具体的应急处理流程和操作规范。

六、演练与沟通

  1. 模拟演练:通过红蓝对抗等方式模拟真实的攻击场景,锻炼团队的应急响应能力,检验应急计划的有效性。
  2. 有效沟通:在应急响应过程中,及时、充分且准确的信息沟通至关重要。沟通对象包括内部员工、外部合作伙伴、客户、媒体和政府等。

七、事件检测与响应

  1. 及时上报:一旦发现安全事件,立即进行上报。
  2. 监控告警:利用系统监控工具和日志分析技术,及时发现并响应安全事件。
  3. 确定级别:根据事件的严重程度和影响范围,准确确定事件的级别。
  4. 深入调查:对事件进行全面深入的调查,包括溯源取证等工作。
  5. 遏制措施:依据调查结果,采取必要的措施遏制事件进一步恶化。

八、报告与总结

  1. 编写报告:详细记录事件的发生过程、处理情况和最终结果,以及后续的调查计划和改进建议。
  2. 总结经验:对事件处理过程中的经验教训进行总结,提出具有针对性的改进建议。

九、入侵检测与防御

  1. 使用工具:借助 Snort 等入侵检测和防御系统,对网络流量进行实时监控和分析,及时发现并阻止网络威胁。
  2. 流量分析:运用流量分析技术,识别恶意流量,并采取相应的告警和阻止措施。
  3. 合理部署:根据实际需求,选择合适的 IDS 与 IPS 部署方式,如带外监视或串联部署,以实现更高效的入侵检测和防御。

十、安装依赖包与配置 Snort

  1. 安装数据采集库:安装 DAQ 数据采集库,为 Snort 提供必要的数据采集支持。
  2. 安装内存分配器:安装内存分配器,确保 Snort 运行过程中有充足的内存资源。
  3. 安装配置 Snort3:根据实际需求,安装并配置 Snort3,包括自定义规则等操作。
  4. 自定义规则示例:例如,针对发往特定系统或子网中 IP 地址的任何流量设置触发警报的规则。
(1)文件管理概述(Snort 规则配置)

在网络安全监控中,Snort 等工具的规则配置是关键环节。规则明确了如何检测和处理网络流量,并在满足特定条件时触发告警。这些规则由多个字段构成,每个字段都发挥着独特的作用,共同保障对网络活动的精准监控。

(2)Snort 规则配置字段详细描述
  1. alert:表示这是一个告警规则,当流量与规则匹配时,Snort 会生成告警。例如:alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...)。
  2. icmp/tcp/udp:用于指定要监控的协议类型,如 ICMP、TCP、UDP。示例:alert icmp ... 或 alert tcp ...。
  3. any:作为源 / 目标 IP 或 CIDR 时,表示任意 IP 地址;作为源 / 目标端口时,表示任意端口。示例:any any(代表任意源 IP 和端口)。
  4. < >(方向运算符):用于指示流量的方向。示例:-> 表示流量从源端流向目标端。
  5. **:在配置中代表定义的本地网络。示例:HOME_NET 可替代具体的 IP 范围。
  6. msg:是告警的描述性名称。示例:msg"Test Ping Event"。
  7. sid:是规则的唯一签名 ID。示例:sid:1000001。
  8. rev:代表规则的版本号,用于跟踪规则的更新情况。示例:rev:1。
  9. classtype:表示告警的分类类型。示例:classtype:icmp-event。
  10. content:指在流量中需要查找的特定内容。示例:content:"Login incorrect"。
(3)本地账号与 Snort 条件子句概述

Snort 可以通过设置条件子句来监控与本地账号相关的活动,比如失败的登录尝试。当满足设定的条件时,就会触发告警或执行其他操作。

(4)具体 Snort 条件子句示例及解释

示例:检查失败的 telnet 登录尝试 规则语句: alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;) 详细解释:

  1. 协议及源目标设定:alert tcp 表示针对 TCP 协议的告警;$HOME_NET 23 表示源网络为本地网络,端口为 23(Telnet 服务端口);-> any any 表示流量流向任意目标 IP 和端口。
  2. 告警信息及分类相关:msg:"Failed login attempt" 即告警名称为 “Failed login attempt”;content:"Login incorrect" 表示流量中需包含 “Login incorrect” 字符串;sid:1000002 表示规则的唯一签名 ID 为 1000002;rev:1 表示规则版本号为 1;classtype:attempted-user 表示告警分类为 “attempted-user”。
(5)外部规则集

相关网址:

  1. Proofpoint:可能提供网络安全规则和相关建议。
  2. Emerging Threats:提供与新兴威胁相关的规则集。
(6)In Line 部署及阻断操作
  1. In Line 部署:Snort 直接介入网络流量的传输路径,实现对流量的实时处理。
  2. 阻断操作:
    • D drop:丢弃符合特定条件的流量。
    • sdrop:功能与 D drop 类似,但具体实现方式可能有所差异。
    • reject:拒绝流量,并向流量的源端发送拒绝响应。
(7)总结

运用 Snort 的规则配置外部规则集,以及 In Line 部署阻断操作等功能,可以实现对网络活动的全面、有效监控,为网络安全提供有力的防护。

原文始发于微信公众号(泷羽Sec-Blanks):网络安全蓝队基础(面试手册)---满满干货快来收藏

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月25日02:08:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全蓝队基础(面试手册)-满满干货快来收藏http://cn-sec.com/archives/3670100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息