IDS IPS.pdf
12.3 MB
📖 IDS / IPS со Snort 3
Год: 2024
Авторы: Эшли Томас
Это практическое руководство по Snort 3, современной системе обнаружения и предотвращения вторжений (IDS/IPS). Автор живо и понятно объясняет, как устроен Snort, как его установить, настроить и использовать для анализа сетевого трафика. Книга охватывает архитектуру Snort 3, его ключевые модули (инспекторы, декодеры, правила, репутации IP), а также даёт читателю понимание всей логики работы IDS. Подойдёт как новичкам, так и тем, кто уже работал с предыдущими версиями Snort и хочет быстро разобраться в новой.
#cybersecurity
@sysadmin1
Год: 2024
Авторы: Эшли Томас
Это практическое руководство по Snort 3, современной системе обнаружения и предотвращения вторжений (IDS/IPS). Автор живо и понятно объясняет, как устроен Snort, как его установить, настроить и использовать для анализа сетевого трафика. Книга охватывает архитектуру Snort 3, его ключевые модули (инспекторы, декодеры, правила, репутации IP), а также даёт читателю понимание всей логики работы IDS. Подойдёт как новичкам, так и тем, кто уже работал с предыдущими версиями Snort и хочет быстро разобраться в новой.
#cybersecurity
@sysadmin1
👍3⚡1❤1🔥1
Компьютерные сети
Лекция 1. Устройство сетевого стека. Модель OSI
Лекция 2. Физический уровень компьютерных сетей
Лекция 3. Локальные сети семейства Ethernet
Лекция 4. Коммуникационное оборудование локальных сетей
Лекция 5. Беспроводные сети на примере WiFi
Лекция 5. Устройство стека TCP\IP
Лекция 6. Как начать работать с Cisco Packet Tracer
Лекция 7. IPv4
@sysadmin1
Лекция 1. Устройство сетевого стека. Модель OSI
Лекция 2. Физический уровень компьютерных сетей
Лекция 3. Локальные сети семейства Ethernet
Лекция 4. Коммуникационное оборудование локальных сетей
Лекция 5. Беспроводные сети на примере WiFi
Лекция 5. Устройство стека TCP\IP
Лекция 6. Как начать работать с Cisco Packet Tracer
Лекция 7. IPv4
@sysadmin1
👍10⚡1❤1🥰1🏆1🤝1
26 сетевых протоколов, которые нужно знать
@sysadmin1
FTP (20/21, TCP) — Протокол передачи файлов: используется для передачи файлов между клиентом и сервером.
SFTP (22, TCP) — Защищённый протокол передачи файлов: FTP по SSH для безопасной передачи файлов.
TFTP (69, UDP) — Упрощённый протокол передачи файлов: простой, незащищённый протокол передачи файлов.
SSH (22, TCP) — Secure Shell: защищённый удалённый вход и выполнение команд.
TELNET (23, TCP) — Teletype Network: незащищённый удалённый вход и выполнение команд.
SMTP (25, TCP) — Простой протокол передачи почты: используется для отправки электронной почты.
SMTPS (587, TCP) — SMTP через TLS: SMTP поверх Transport Layer Security (TLS) для защищённой передачи электронной почты.
POP3 (110, TCP) — Post Office Protocol v3: получение электронной почты путём её загрузки с сервера.
POP3S (995, TCP) — POP3 через SSL: защищённый POP3 для получения электронной почты.
IMAP (143, TCP) — Протокол доступа к сообщениям Интернета: доступ к электронной почте напрямую на сервере.
IMAPS (993, TCP) — IMAP через SSL: защищённый IMAP-доступ к почте.
HTTP (80, TCP) — Протокол передачи гипертекста: незащищённый веб-сёрфинг.
HTTPS (443, TCP) — Безопасный протокол передачи гипертекста: защищённый веб-сёрфинг через SSL или TLS.
DNS (53, TCP/UDP) — Система доменных имён: используется для преобразования доменных имён в IP-адреса.
DHCP (67/68, UDP) — Протокол динамической настройки хоста: используется для динамического назначения IP-адресов.
NTP (123, UDP) — Протокол сетевого времени: синхронизация часов по сети.
LDAP (389, TCP) — Протокол лёгкого доступа к каталогам: доступ и управление информацией каталогов.
LDAPS (636, TCP/UDP) — LDAP через SSL: используется для защищённого доступа к LDAP.
SNMP (161/162, UDP) — Протокол простого управления сетью: используется для мониторинга и управления сетевыми устройствами.
SYSLOG (514, UDP) — Системное логирование: протокол и система журналирования сетевых событий.
SMB (445, TCP) — Протокол серверных сообщений: совместное использование файлов и сетевые коммуникации.
SQL (1433, TCP) — Язык структурированных запросов (SQL): управление БД от Microsoft.
SQLNET (1521, TCP) — SQLNET (служба Oracle Network): обеспечивает взаимодействие клиентов Oracle SQL с сервером баз данных Oracle.
MySQL (3306, TCP) — MySQL: сервер базы данных MySQL.
RDP (3389, TCP/UDP) — Протокол удалённого рабочего стола: удалённый доступ к рабочему столу.
SIP (5060/5061, TCP/UDP) — Протокол установления сеансов: используется для управления мультимедийными сессиями связи.
@sysadmin1
👍17❤3🔥3
📌Полезные горячие клавиши для терминала Linux
Запомни эти комбинации — они сделают твою работу в терминале быстрее и эффективнее:
🔸 Ctrl + A — Переместить курсор в начало строки
🔸 Ctrl + E — Переместить курсор в конец строки
🔸 Ctrl + R — Поиск по предыдущим командам
🔸 Ctrl + → — Перейти на одно слово вперёд (аналог Alt + F)
🔸 Ctrl + ← — Перейти на одно слово назад (аналог Alt + B)
🔸 Ctrl + U — Вырезать строку от текущей позиции до начала и скопировать в буфер
🔸 Ctrl + F — Переместить курсор на один символ вперёд (аналог стрелки →)
🔸 Ctrl + B — Переместить курсор на один символ назад (аналог стрелки ←)
🔸 Ctrl + L — Очистить экран терминала (аналог команды
📌 Сохрани себе, чтобы не забыть.
@sysadmin1
Запомни эти комбинации — они сделают твою работу в терминале быстрее и эффективнее:
🔸 Ctrl + A — Переместить курсор в начало строки
🔸 Ctrl + E — Переместить курсор в конец строки
🔸 Ctrl + R — Поиск по предыдущим командам
🔸 Ctrl + → — Перейти на одно слово вперёд (аналог Alt + F)
🔸 Ctrl + ← — Перейти на одно слово назад (аналог Alt + B)
🔸 Ctrl + U — Вырезать строку от текущей позиции до начала и скопировать в буфер
🔸 Ctrl + F — Переместить курсор на один символ вперёд (аналог стрелки →)
🔸 Ctrl + B — Переместить курсор на один символ назад (аналог стрелки ←)
🔸 Ctrl + L — Очистить экран терминала (аналог команды
clear)📌 Сохрани себе, чтобы не забыть.
@sysadmin1
👍8🔥2❤1
🔥 25 самых нужных правил IPTables
📍 Общие команды
1. Показать все правила
2. Сброс всех правил
3. Удалить все цепочки
4. Установить политику по умолчанию (DROP)
🔐 Базовая защита
5. Разрешить локальный трафик (localhost)
6. Разрешить уже установленные соединения
7. Блокировать пинг (ICMP)
8. Ограничить пинг (защита от ICMP flood)
🌐 Доступ по IP и портам
9. Разрешить SSH (порт 22)
10. Ограничить SSH по IP
11. Разрешить веб-сервер (HTTP/HTTPS)
12. Открыть произвольный порт (например, 8080)
13. Заблокировать IP-адрес
14. Разрешить только определённую подсеть
🔁 NAT и проброс портов
15. Включить NAT (маршрутизация через сервер)
16. Проброс порта (порт 2222 наружу на 22 внутри)
🧱 Защита от атак
17. Ограничить количество подключений на порт (например, SSH)
18. Блокировать сканирование портов (SYN-флуд)
19. Ограничить частоту соединений (SSH)
🔍 Логирование
20. Логировать всё, что дропается
21. Логировать только определённый порт
🛠 Прочее
22. Удалить конкретное правило
23. Сохранить правила
24. Загрузить правила
25. Сделать iptables постоянным (Debian/Ubuntu)
💡 Совет: Используй
@sysadmin1
📍 Общие команды
1. Показать все правила
iptables -L -v -n
2. Сброс всех правил
iptables -F
3. Удалить все цепочки
iptables -X
4. Установить политику по умолчанию (DROP)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
🔐 Базовая защита
5. Разрешить локальный трафик (localhost)
iptables -A INPUT -i lo -j ACCEPT
6. Разрешить уже установленные соединения
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
7. Блокировать пинг (ICMP)
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
8. Ограничить пинг (защита от ICMP flood)
iptables -A INPUT -p icmp -m limit --limit 1/s --limit-burst 4 -j ACCEPT
🌐 Доступ по IP и портам
9. Разрешить SSH (порт 22)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
10. Ограничить SSH по IP
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT
11. Разрешить веб-сервер (HTTP/HTTPS)
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
12. Открыть произвольный порт (например, 8080)
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
13. Заблокировать IP-адрес
iptables -A INPUT -s 192.168.1.200 -j DROP
14. Разрешить только определённую подсеть
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
🔁 NAT и проброс портов
15. Включить NAT (маршрутизация через сервер)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
16. Проброс порта (порт 2222 наружу на 22 внутри)
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.0.10:22
🧱 Защита от атак
17. Ограничить количество подключений на порт (например, SSH)
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 3 -j REJECT
18. Блокировать сканирование портов (SYN-флуд)
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
19. Ограничить частоту соединений (SSH)
iptables -A INPUT -p tcp --dport 22 -m limit --limit 5/min --limit-burst 10 -j ACCEPT
🔍 Логирование
20. Логировать всё, что дропается
iptables -A INPUT -j LOG --log-prefix "DROP: "
21. Логировать только определённый порт
iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "TELNET ATTEMPT: "
🛠 Прочее
22. Удалить конкретное правило
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
23. Сохранить правила
iptables-save > /etc/iptables/rules.v4
24. Загрузить правила
iptables-restore < /etc/iptables/rules.v4
25. Сделать iptables постоянным (Debian/Ubuntu)
apt install iptables-persistent
💡 Совет: Используй
iptables -L --line-numbers перед удалением правил для точного номера строки.@sysadmin1
👍8✍4🔥2❤1
🔧 Vim: шпаргалка-трюки
💡 Быстро. Мощно. Без мыши.
📂 Навигация по файлу
📋 Работа с текстом
🧠 Поиск и замена
🛠 Редактирование конфигов
⛓ Работа с терминалом внутри Vim (если поддерживается)
🧭 Полезное
🔥 Макросы
@sysadmin1
💡 Быстро. Мощно. Без мыши.
📂 Навигация по файлу
gg — в начало файла G — в конец zz — текущая строка по центру экрана } / { — по абзацам вниз / вверх * / # — поиск слова под курсором вниз / вверх 📋 Работа с текстом
yy — скопировать строку dd — удалить строку p — вставить после P — вставить до u / Ctrl + r — отменить / вернуть 🧠 Поиск и замена
/foo — найти foo :%s/foo/bar/g — заменить всё :.,$s/foo/bar/g — заменить с текущей до конца :g/error/d — удалить все строки с "error" 🛠 Редактирование конфигов
:e /etc/ssh/sshd_config — открыть файл :w !sudo tee % — сохранить без выхода из sudo vim :vsplit /etc/fstab — открыть 2 файла рядом ⛓ Работа с терминалом внутри Vim (если поддерживается)
:terminal — открыть терминал Ctrl-w N — выйти в normal mode терминала 🧭 Полезное
.vimrc: set number " Показывать номера строк
set clipboard=unnamed " Общий буфер с ОС
set mouse=a " Включить мышь (если надо)
set tabstop=4 shiftwidth=4 expandtab " Пробелы вместо табов
🔥 Макросы
qa — начать запись макроса в регистр a q — остановить запись @a — воспроизвести макрос @sysadmin1
👍7❤3⚡1🔥1
🛡 Fail2Ban: Шпаргалка по настройке
Fail2Ban — инструмент для защиты сервера от перебора паролей (brute-force) и других атак, блокируя IP-адреса через
🚀 Установка
Debian/Ubuntu:
RHEL/CentOS:
⚙️ Базовая настройка
1. Создаём локальную копию конфига:
2. Открываем для редактирования:
3. Ключевые параметры:
🔐 Пример: защита SSH
🔍 Проверка и управление
- Запуск/остановка:
- Статус:
- Статус конкретного jail:
- Разбанить IP:
📄 Полезные логи
- Fail2Ban логи:
- Проверка правил iptables:
🧩 Советы
✅ Создавайте
✅ Добавляйте свои фильтры в
✅ Используйте
@sysadmin1
Fail2Ban — инструмент для защиты сервера от перебора паролей (brute-force) и других атак, блокируя IP-адреса через
iptables, firewalld, nftables и др.🚀 Установка
Debian/Ubuntu:
sudo apt update && sudo apt install fail2ban
RHEL/CentOS:
sudo dnf install fail2ban
⚙️ Базовая настройка
1. Создаём локальную копию конфига:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
2. Открываем для редактирования:
sudo nano /etc/fail2ban/jail.local
3. Ключевые параметры:
[DEFAULT]
bantime = 3600 # Время бана (в секундах)
findtime = 600 # Интервал поиска неудачных попыток
maxretry = 5 # Сколько раз можно ошибиться
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 # IP без блокировки
🔐 Пример: защита SSH
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
maxretry = 3
bantime = 1h
🔍 Проверка и управление
- Запуск/остановка:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
- Статус:
sudo fail2ban-client status
- Статус конкретного jail:
sudo fail2ban-client status sshd
- Разбанить IP:
sudo fail2ban-client set sshd unbanip 1.2.3.4
📄 Полезные логи
- Fail2Ban логи:
/var/log/fail2ban.log
- Проверка правил iptables:
sudo iptables -L -n
🧩 Советы
✅ Создавайте
.local -файлы вместо правки .conf ✅ Добавляйте свои фильтры в
/etc/fail2ban/filter.d ✅ Используйте
fail2ban-regex для теста фильтров@sysadmin1
👍10❤6🔥3⚡1
Media is too big
VIEW IN TELEGRAM
Инструменты мониторинга трафика в Mikrotik
Первый способ:
Использование инструмента Torch в разделе Queue для реального времени анализа трафика через интерфейс Bridge, что помогает выявить потребление трафика на конкретных сайтах.
Второй способ:
Отслеживание активных соединений в разделе IP Firewall Connections с возможностью сортировки по IP-адресам, портам и количеству переданных данных, а также использование командной строки для детального анализа и настройки QoS.
Эти методы помогают эффективно контролировать и управлять сетевым трафиком.
@sysadmin1
Первый способ:
Использование инструмента Torch в разделе Queue для реального времени анализа трафика через интерфейс Bridge, что помогает выявить потребление трафика на конкретных сайтах.
Второй способ:
Отслеживание активных соединений в разделе IP Firewall Connections с возможностью сортировки по IP-адресам, портам и количеству переданных данных, а также использование командной строки для детального анализа и настройки QoS.
Эти методы помогают эффективно контролировать и управлять сетевым трафиком.
@sysadmin1
👍5🔥2⚡1❤1