本文介绍了如何在Windows系统中部署Snort入侵检测系统,包括选择Windows平台的优势、安装Snort的详细步骤、配置Snort+Barnyard2+BASE日志分析系统的方法,以及设置开机自启动等内容,旨在帮助初学者快速搭建Snort IDS平台。

1.平台选择

1.1操作界面

     新手通常对 Windows 系统更为熟悉,作为全球广泛使用的桌面操作系统,其具备直观的图形界面和便捷的操作流程。在 Windows 环境下,学习者能够充分利用已有的文件管理、软件安装等知识基础。例如,用户可以轻松地在资源管理器中定位软件安装文件,运用熟悉的操作习惯进行文件管理等。使得学习者在学习 Snort 过程中,可有效降低因操作系统不熟悉而带来的额外学习成本,将主要精力集中于 Snort 本身功能的深入理解与掌握。

1.2图形化工具支持

Windows 系统为 Snort 提供了多种配套的图形化工具,这些工具极大地便利了,新手对网络流量的直观理解和分析。以 Snort - GUI(图形用户界面)工具为例,允许用户在简洁易用的界面中实现对 Snort 服务的启动、停止操作,并能够便捷地查看规则、日志等关键信息。相较于 Linux 系统,尽管后者也存在图形化工具,但多数情况下,Snort 在 Linux 系统中的配置与管理依赖于命令行操作,对于新手而言,这种复杂性可能会提高学习门槛。

     以上这些工具,允许用户在简洁易用的界面中实现对 Snort 服务的启动、停止操作,并能够便捷地查看规则、日志等关键信息。相较于 Linux 系统,尽管后者也存在图形化工具,但多数情况下,Snort 在 Linux 系统中的配置与管理依赖于命令行操作,对于新手而言,这种复杂性可能会提高学习门槛。

1.3 资源获取与安装

     在 Windows 系统下,获取并安装 Snort 相对简单,从官方下载页面 https://snort.org/downloads 获取最新安装包。大家在购《Windows 10环境快速安装Snort可视化系统》课程后,通过网盘下载所有资源包,运行安装向导,按提示完成安装即可,无需手动输入复杂参数,这一过程对新手十分友好。但需注意:Windows 环境在安全性、吞吐量、内存占用、稳定性及配置灵活性方面存在明显局限。为深入掌握 Snort 并规避这些短板,作者专门开发了《手动构建 Snort 系统》课程,引导读者在 Linux 等更优平台上搭建高性能、高可靠的 Snort 环境。

2、 Windows 10安装Snort

    为了让初学者在Windows 10  64位系统环境下快速安装Snort系统,我们这里采用了批处理程序来实现。在进行实验时,请务必仔细核对实验环境和要求,以确保实验的顺利进行。

2.1实验环境要求

以下软件安装要求是笔者在长期工作实践中总结出的关键点,大家在实验前务必核对自己的实验环境是否满足这些要求。

1).宿主机(物理机)应具备至少4G内存和50G的剩余存储空间,建议使用8G内存配合SSD固态硬盘以获得更佳性能;

2).实验应在独立的专用实验局域网中进行;

3).每个虚拟机应配置一块虚拟网卡,并采用桥接模式与宿主机连接;

4).宿主机应通过有线网络与交换机连接,尽量避免使用Wi-Fi或热点方式联网;

5).确保Windows版本、Snort版本以及抓包工具npcap的版本位数保持一致;

例如,若操作系统安装的是Windows 10 64位版本,则系统中的Snort也应使用64位版本。在下载安装包时需特别注意,未明确标注64位的通常为32位安装包,而标注为x64的则为64位安装包,两者不可混用。具体区分方法如图1所示。

Snort应安装在D:\winids目录下。接下来,让我们通过一个实例来了解如何从程序名上区分32位和64位的安装包。

Windows 10 系统中部署Snort_Windows

图1 Snort 32/64位安装软件

在图1中,箭头所指的两个安装包均为64位安装包,其余为32位安装包,如果弄混淆了,安装不会报错,但运行Snort时会发生故障。

2.2 安装软件要求

软件需求涵盖以下6个关键环节:

  • 操作系统必须是Windows 10 专业版,并且需要全新安装(避免潜在的配置冲突)。硬盘应划分为两个分区,即C盘和D盘,其中系统应安装在C盘,并创建一个新用户账户名为Snort,登录用户名也应为Snort。请勿使用旧系统来替代实验环境;
  • 请勿启用防火墙和AntiVirus软件;
  • 请勿安装Microsoft IIS服务;
  • 对于浏览器的选择,建议使用谷歌浏览器进行Web配置;
  • 所有批处理程序需要以管理员权限执行;

2.3 BASE运行要求

BASE(Basic Analysis and Security Engine)是一套由PHP程序编写的Web应用程序,主要用来管理入侵检测系统所产生的日志,让管理者能够有效地利用此Web界面管理入侵检测系统所产生的事件。

BASE 用来查看Snort IDS告警的Web应用程序,该程序运行于PHP+MySQL+Apache环境,所以我们在Windows 10下搭建运行环境使用。

下面最小实验环境,仅需一台物理机,在这台宿主机内安装两台虚拟机,一台VM虚拟机安装Win10+安装Snort,用宿主机模拟Attack。

3.搭建Snort+Barnyard2+BASE日志分析系统

 3.1工作流程

Snort在进入IDS工作模式之前,首先要对snort.conf配置文件进行基础设置,对一些目录和规则输出插件等参数进行初始化配置,对于初学者暂时不必关注如何设置,只需要执行一条批处理程序就能完成任务,工作流程如图2所示。该流程图在实际工作中具有普遍性,不但适用于Windows环境中安装,也适用于其他操作系统环境中安装。

Windows 10 系统中部署Snort_数据库_02

图2 Snort IDS工作流程

Snort设置成功的标志是在Snort日志目录能够输出merged.log.timestamp报警文件,该文件即Snort的输出结果,又是Barnyard2的输入数据源,如果大家在实验过程中没有发现merged.log文件,需对之前的操作步骤进行核查。Barnyard2读取Snort产生的日志文件之后会转储至MySQL数据库,最后通过BASE程序读取数据库展示出来实现Snort报警可视化。

在介绍完IDS工作流程之后,接下来我们将开始安装系统。

3.2安装与设置

步骤1: 下载并安装素材包(初始化系统)

首先,扫描二维码下载素材包。随后,检查虚拟机的网卡连接模式,并确认磁盘分区D盘有足够的可用空间。将素材压缩包解压,并放置于D:\soft-install目录下。请注意,从步骤1至步骤13,所有必需的安装包和脚本均应从D:\soft-install目录中获取。

接下来,安装7z1900-x64和Notepad++程序,建议使用默认的安装路径。素材功能的安装详情请参见表1。

表1   安装素材清单(序号不代表安装顺序)