《企業(yè)安全建設(shè)》實驗指導(dǎo)書（模板）

1、實驗二企業(yè)平安建設(shè)一、實驗?zāi)康?、了解網(wǎng)絡(luò)準入系統(tǒng)原理及作用2、學(xué)會ELK的安裝，及基礎(chǔ)配置，通過實驗了解ELK的基礎(chǔ)架構(gòu)及相互協(xié)作關(guān)二、實驗環(huán)境一臺ubuntu服務(wù)器考前須知ubuntu內(nèi)含安裝virtual box虛擬機，和GNS3網(wǎng)絡(luò)模擬器，共有四臺 設(shè)備如下：一臺win 2003 （virtual box虛擬機）作為radisu服務(wù)器，進行網(wǎng)絡(luò)授權(quán)， 同時作為DHCP,認證服務(wù)器一臺win xp （virtual box虛擬機）作為接入端， 進行準入驗證一臺路由器由GNS3模擬，模擬企業(yè)核心路由器一臺交換機由 GNS3模擬，模擬企業(yè)接入層交換機三、實驗內(nèi)容及實驗步驟1、網(wǎng)絡(luò)準入實驗（1

2、）準備工作：使用 root 登錄，密碼 360coilegePsswOrd安裝一個 xfce4-terminal 終端apt install -y xfce4-terminal然后輸入下面命令啟動圖形界面startx按ctrl+n新建一個空白工程或者點擊file - New blank project起 名保存。設(shè)置GNS3的默認終端GNS3默認終端設(shè)為我們安裝的XFCE4-terminal.官方站點 新手上路 包 常用網(wǎng)址JD京東商城ElasticsearchIndex ManagementIndex Lifecycle PoliciesRollup JobsCross Cluster Re

3、plicationRemote ClustersLicense Management7.0 Upgrade AssistantCreate index pa.No default index pattern. You mustselect or create one to continue.Tiing0以 KibanaIndex Pattu門isSaved ObjectsSpacesReportingAdvanced SettingsCreate index patternKibana uses index patterns to retrieve data from Elasticsearc

4、h indices for tilings like visualizations.Step 2 of 2: Configure settingsYou*ve defined %metadatabeat-%metadataversionH index pattern. Now you can specify some settings before we createRefreshztimestampThe Time Filter will use this field to filter your data by time.You can choose not to have a time

5、field, but you will not be able to narrow down your data by a time range. Show advanced options點Discover,查看日志成功1 hitkibanaNew Save Open Share Inspect C Auto-rejearxh. (e.g. status:200 AND extension:PHP) DiscoverAdd a filter +位 Visualize。/狙beat!)gQ DashboardH Timelion命 CanvasSelected fields1? .source

6、0 8Available fieldsag o.60 timestampu 40.2 t versionidMapsApril 2nd 2019,18:46:25.789 - April 2nd 2019,19:01:25.789 o18:47:00 13:48:00 18:49:00 18:50:00 18:51:00 18:52:00 18:53:00 18:54:00 18:55:00 18:56:00 18:57:0timestamp per 30 secondsMachine LearningindexTimesourcescoreInfrastructure_typeApril 2

7、nd 2019, 18:55:3 Q Q host: 192,168.1.8 port: 46,246 type: syslog version:：Logs-11556-1363184756-1254-78238 named3645: 02-Apr-2019 18:host(): query: IN A E ()APMmessage55:31.796 _id: xNqw3HkBSukl9NktmHDz _type: doc _index:Uptimeportaversion-2019.04.02 _score:實驗二：將apache日志，以文件形式，使用filebeat發(fā)券U

8、 logstash配置思路與之前一樣。不過這里的filebeat支持直接發(fā)到lasticsearcho 如果不使用logstash 的過濾整形功能，就就直接發(fā)到elasticsearcho過濾整形功能我們稍后再講。修改 elasticsearch 配置登錄ELK服務(wù)器修改elasticsearch默認配置，使其監(jiān)聽本地IP地址，而非默認的環(huán)回口vim /etc/elasticsearch/elasticsearch.ymlElasticsearch performs poorly when the system is swapping the memory. # Network # Set t

9、he bind address to a specific IP (IPv4 or IPv6):#fletwork.host 0.0,0.0sea custom port for :,port: 9200network module work module documentation.more information. consult theD cov-r 啟動ES和kibanasystemctl start elasticsearch kibana安裝 filebeat配置應(yīng)用服務(wù)器apachedcurl -L -O 編輯filebeat配置文件vim /etc/filebeat/fileb

10、eat.yml報表輸出到kibana= Kibana =IStarting with Beats version 6.0.0, the dashboards are loaded via the Kibana .This requires a Kibana endpoint configuration. setup.kibana:Kibana HostScheme and port can be left out and will be set to the default ( and 5iIn case you specify and additional path, the scheme

11、is required: :/lo- 01/pathIPv6 addresses should always be defined as: s:/2001:db8:1:5601 host: H192,168.1.10:5601H114,0-1輸出配置，直接輸出到elasticsearh當 Configure what output to use when sending the data collected by the beat.Elasticsearch output output -HSTWsearch:Array of hosts to connect to.hosts: 92, 15

12、8 ! I。929C Enabled ilm (beta) to use index lifecycle management instead daily indie#ilm.enabled: false145,1啟用apache的日志解析插件filebeat modules enable apache2檢查已啟動插件filebeat modules list編輯apache2插件配置vim/etc/filebeat/modules.d/apache2.ymluu-module apache2 # Access logs access: enabled:# Set custom paths f

13、or # Filebeat will choose var.paths: n/var/log/thethelog files. If left paths depending on /access log11empty, your OS.# Error logs error:enabled:# Set custom paths for # Filebeat will choose ar.paths: :Lthe log files. If left the paths depending on ttpd/error loguempty, your OS.創(chuàng)立索引和模板filebeat setu

14、p -e啟動 filebeatsystemctl start filebeat啟動 apache systemctlstart d生成日志查看日志使用Windows服務(wù)器登錄kibana登錄kibana查看日志發(fā)送iptables日志到syslog后，再轉(zhuǎn)發(fā)到logstash,并修改kibana展示對應(yīng)字段要點logstash整形日志，并修改對應(yīng)字段配置logcreat服務(wù)器，并生產(chǎn)iptabels日志，發(fā)送給ELK的syslog登錄 Log-creat 服務(wù)器，啟用 iptables systemctlstart iptables查看當前規(guī)那么，應(yīng)該是默認規(guī)那么iptables -nvL添加

15、記錄SSH的日志，同之前iptables日志實驗iptables -I INPUT -p tcp -dport 22 -j LOG -log-prefix Mssh_loginn -log-level 4iptables -I INPUT 2 -p tcp -dport 22 -j ACCEPT修改rsyslog配置，將日志發(fā)給ELK的syslogvim /etc/rsyslog.conf加入以下行，其中是ELK服務(wù)器地址kem.4 x.x.x.x:514重啟 rsyslog服務(wù)systemctl restart rsyslog配置 ELK 的 syslog,保存 iptables 日志到/v

16、ar/log/iptables登錄ELK,修改syslog配置 vim /etc/rsyslog.conf 加入以下行kem.4 /var/log/iptables 重啟rsyslog,并查看日志 systemctl restart rsyslog cat /var/log/iptables配置logstash,整理iptables日志GROK 正那么的調(diào)試網(wǎng)站 :GROK默認的正那么表達式 s: 此處使用logstash的grok插件，使用正那么來匹配日志。如岱丫51/)6=151人：6,代表正那么表達式SYSLOGTIMESTAMP,所對應(yīng)的日志 字段為日期時間。%IPV4:SRC,表示正

17、那么表達式IPV4,對應(yīng)字段為SRC 創(chuàng)立iptables的日志讀取文件vim /etc/logstash/conf.d/iptables.conf 輸入以下內(nèi)容 input file path = /var/log/iptables”) )filter grokmatch = “message = n%SYSL0GTIMESTAMP:date%DATASRC=%IPV4:SRC DST=%IPV4:DST%DATAPR0T0=%W0RD:PR0T0SPT=%NUMBER:SPTDPT=%NUMBER:DPT” output elasticsearch hosts = H :/localhos

18、t:9200nindex = iptables給iptables日志加上可讀權(quán)限，讓logstash能讀取 chmod +r /var/log/iptables 啟動ELK服務(wù)systemctl start elasticsearch logstash kibana使用kibana生成報表在實驗三基礎(chǔ)上，添加 iptables 索引，可以看到日志如下列圖，有清晰的字段?？梢苑奖阄覀冞^濾。t SRCtimestamp per dayAvailable fieldsTimeSRCDSTSPTDPTPROTOO t t tversionjdindexMBApril 16th 2019,17:24:4

19、8.81423224982522TCPApril16th2019,17:23:48.742192.16 Q QJ23224982522TCP* t t_scoreApril16th2019,17:22:48.67323224982522TCP_typedateApril16th2019,17:21:48.60723224982522TCPt thostmessageApril16th2019,17:20:48.54023224982522TCPtpathApril16th2019,17

20、:19:49.46623224982522TCPApril16th2019,17:18:49.39723224982522TCPApril16th2019,17:17:49.32623224982522TCPApril16th2019,17:16:49.25723224982522TCP過濾表達式，如SRC: 192. 168. 0. 121,如圖211OptionsC RefreshAdd a filter +April 16th 2019,17:15:28.226 - April 16th 2019,1

21、7:30:28.226 DailySelected fieldst DPTt DSTt PROTOt SPT2012019-04-162019-04-162019-04-16 2019-04-162019-04-162019-04-16fieldsSPTDPTPROTOOTimeSRCDST April 16th 2019, 17:30:17.223632422TCPtversion121122tid April 16th 2019, 17:30:05.207632422TCPtjndex121122#.sco

22、re April 16th 2019, 17:29:57.197632422TCP121122*-rype4Acc；11 C4-K OQ1 Q 1 7 . OQ .C7 1 0710*1 1 s a1qo 1cfi aTrotimestamp per dayt SRCt SRCAvailable 0創(chuàng)立可視化圖形，點擊 kibana_tVisualize 21:5601/app/kibana#/visualize?.g=(filters:!0)O最常訪問 B火孤官方站點 新手上路包常用網(wǎng)址O最常訪問 B火孤官方站點 新手上路包常用

23、網(wǎng)址JD京東商城VisualizeG) DiscoverQ Search.| 力 VisualizeSODashboardLooks like you dgnt have any visualizations： LetsTimelion+ Create a visualizationCanvas0 items selectedS Wps選擇餅圖New VisualizationQ FilterControlsControlsCoordinateMapData Tableo役6o目 KiaugeGoalHeat Map Horizontal Bar區(qū)50Markdown選擇索引 From a N

24、ew Search, Select IndexQ Filter.Zama 一Or, From a Saved SearchQ Saved Searches Filter.Name、No matching saved searches found.按片來分割A(yù)dd a filter +ipta*Data OptionsMetricsSlice Size CountSlice Size CountBucketsSelect buckets type凱 SplitEhcesSplit ChartCancel選擇一些參數(shù)，生成報表，最后點三角形，生成圖形，展示源端口所占比例。Slice Size Co

25、untO 49825 47638Buckets Split SikesAggregation9 ETerms helpTermsFieldSPT. keywordOrder Bymetric: CountOrderSizeDescer 田 5 56324 32( 36840Group other values in separate bucket 四、實驗報告要求1、根據(jù)實驗指導(dǎo)書和實驗過程撰寫實驗報告，并對實驗過程和結(jié)果進行分析和總 結(jié)。2、實驗報告內(nèi)容和數(shù)據(jù)真實，實驗結(jié)果分析詳細。添加交換機與路由器及虛擬機網(wǎng)卡添加交換機添加路由器查找字符串為7200添加虛擬機網(wǎng)卡X 2查找字符串為clou

26、d配置虛擬機網(wǎng)卡先翻開Oracle virtualbox ,讓虛擬機加網(wǎng)卡，不然下面步驟可能找不到網(wǎng)卡。 如果找到不可以點，右鍵點Cloud-1- Configure,添加vboxnetO如果找 不到可以點Refresh刷新一下同理配置 Cloud2 右鍵點 Cloud-2- Configure,添加 vboxnetl連線建議參照我們的接口，也可以按照自己習(xí)慣。如按自己習(xí)慣，請修改相 應(yīng)網(wǎng)絡(luò)配置。cloud2:vboxnetl swl:FastEthernetl/15swl:FastEthernetl/O RI:Ethernetl/7RI:FastEthernetO/O cloudl:vbox

27、netO 啟動設(shè)備在RI和swl上分別點右鍵，start開啟設(shè)備，可以看到，接口紅點變綠。（2）配置網(wǎng)絡(luò)設(shè)備配置路由器雙擊R1 ,按回車鍵。輸入以下配置命令,注意提示符?？梢詤⒄兆烂?02. lx文件夾 中，RI. conf配置交換機雙擊swl ,按回車鍵。輸入以下配置命令,可以參照桌面802. lx文件夾中， swl. conf（3）配置服務(wù)器radius+dhcp配置win 2003 （用戶名，administroatr 密碼 360coHege）檢查網(wǎng)絡(luò)是否設(shè)置到vboxnetO （默認已經(jīng)設(shè)置好）開啟虛擬機，點擊上方 Input - Keyboard - Insert Ctrl-Alt

28、-Del輸入賬號密碼（用戶名，administroatr密碼360College）配置用戶及組美麗人生序號級刺一、1、（1）、開始一所有程序一 管理工具一 計算機管理一 系統(tǒng)工具一本地用戶和組新建用戶，用戶名為itOl,密碼PsswOrd。這個用戶是用來作準入驗證的用 戶。點擊創(chuàng)立，關(guān)閉。新建用戶組，組名為it_group,將itOl加入此組。點創(chuàng)立，關(guān)閉。開始運行g(shù)pedit.msc,翻開組策略。（這一步在實驗環(huán)境中已經(jīng)設(shè)置好，但在 操作系統(tǒng)默認下，沒有設(shè)置。）因為我們使用，EAP-MD5質(zhì)問，操作系統(tǒng)需要知道 用戶的密碼。所以這里配置使用可逆的存儲密碼。理DHCP+Radius開始，運行a

29、ppwiz. cpl,翻開添加刪除程序一添加/刪除Windows組件點擊確定，下一步至完成即可。配置DHCP依次點擊，翻開DHCP管理器。開始一所有程序一管理工具一DHCP右鍵點服 務(wù)器名，新建作用域，點三次下一步，到配置默認網(wǎng)關(guān)，輸入網(wǎng)關(guān)IP 192. 168. 50. 254點下一步，直到完成。按同樣方式新建VlanlOO和vlanlOl的作用域。VLAN100 IP 為192. 168. 100. 100192. 168. 100. 200 網(wǎng)關(guān) 192. 168. 100. 254VLAN101 IP 為192. 168. 101. 100192. 168. 101. 200 網(wǎng)關(guān) 1

30、92. 168. 101. 254配置Radisu （在Windows中稱為Internet驗證服務(wù)，簡稱IAS）開始-所有程序一管理工具一internet驗證服務(wù)右鍵點擊，RADIUS客戶端一新建radius客戶端，配置IP 10. 0. 0.2，密碼 cisco o （與swl中配置的一致）右鍵點擊，遠程訪問策略一新建遠程訪問策略一下一步右鍵點擊建好的策略，屬性在高級中添加下面三個屬性。用于下發(fā)vlano最終配置好的界面如下，點應(yīng)用radius配置完成酉覆windows xp,驗證配置啟動虛擬機，檢查網(wǎng)絡(luò)是否接入vboxnetl,檢查過程同win2003開始運行services翻開服務(wù)管理

31、。找到Wired Autoconfig,啟動服務(wù)配置本地連接，使用EAP-MD5質(zhì)詢。點擊確定，右下角，會彈出認證提示。輸入用戶名密碼PsswOrd如果驗證不成功，請禁用本地連接，再啟用或關(guān)閉swl的F1/0 口，再開啟。命令如下swl (config)# int f1/0 swl (config-if)# shutdown swl(config-if)# no shutdown再進行驗證。最終驗證成功，可以看到window婢IP為192. 168. 50. 100如果，不輸入用戶名密碼，過一會windows獲取IP為192. 168. 100. 100即 guest vlan如果嘗試輸入錯誤

32、密碼，會獲取IP為192. 168. 101. 100即fail vlan2、ELK安裝實驗(1)準備環(huán)境修改系統(tǒng)默認配置，以提高性能vim /etc/security/limits. conf加入以下四行，其中nofile指同時翻開文件，nproc指同時的進程數(shù)soft nofile 65536hard nofile 131072soft nproc 2048hard nproc 4096vim /etc/sysctl. conf,增大虛擬內(nèi)存vm. max_map_count=655300執(zhí)行以下命令生效sysctl -p殛JAVA環(huán)yum install -y java-1. 8. O-

33、openjdk-devel. x86_64驗證安裝成功java -versionelasticsearch導(dǎo)入安裝源rpm -import . elastic. co/GPG-KEY-elasticsearch 新建文件 vim /etc/yum. repos, d/elasticsearch. repo elasticsearch-6, xname=Elasticsearch repository for 6. x packagesbaseurl=, elastic, co/packages/6. x/yumgpgcheck=lgpgkey=, elastic. co/GPG-KEY-e1a

34、sticsearchenabled=lautorefresh=ltype=rpm-md安裝 elasticsearchyum install elasticsearch 啟動服務(wù)，需要花費約30秒。systemctl start elasticsearch驗證服務(wù)已啟動,查看TCP 9200端口開啟ss -Int | grep 9200curl驗證,看到顯示如下curl 127. 0. 0. 1:9200rootlll# curl 127.0. 0. 1:9200(name : ehcvjmC ,cluster_name : elasticsearch，cluster_uuid ： 9b75U

35、iQTTvauXlZjOB9Nvg，廣version :(1 c ry 八number : 6. 7. 0 ,build_flavor : default”,build_type ： rpnT,build_hash：8453f77，build_date ： z/2019-03-21T15:32:29,844721Z,build_snapshot : false,ir7r7 八iucene_version : 7. 7. 0 ,z/minimum_wire_compatibility_versionz/ : 5 6. 0,/minimum_index_compatibility_version/

36、 : 5 0. 0,“tagline : You Know, for Search”)logstash導(dǎo)入安裝源rpm 一一import . elastic. co/GPG-KEY-elasticsearch新建文件 vim /etc/yum. repos, d/logstash. repologstash-6, xname=Elastic repository for 6. x packagesbaseurl=, elastic, co/packages/6. x/yumgpgcheck=lgpgkey=, elastic, co/GPG-KEY-e1asticsearchenabled=l

37、autorefresh=ltype=rpm-md生成配置文件cp/etc/logstash/logstash-sample. conf/etc/logstash/conf, d/logstash. conflogstashyum install -y logstash啟動服務(wù)systemctl start logstash檢查服務(wù)ss -Int |grep 5044kibana新建文件vi /etc/yum. repos, d/kibana. repokibana-6. xname=Kibana repository for 6. x packagesbaseurl=, elastic, co

38、/packages/6. x/yumgpgcheck=lgpgkey=, elastic, co/GPG-KEY-e1asticsearchenabled=lautorefresh=ltype=rpm-md安裝kibanayum install kibana配置外部端口，以供訪問vim /etc/kibana/kibana. yml找到以下行，并修改，其中X. X. X. x為本機IP地址。以供其它PC訪問 server, host: x x. x. x啟動kibanasystemctl start kibana檢查服務(wù)是否啟動ss -Int | grep 5601可以用其它同網(wǎng)段設(shè)備訪問，會

39、出現(xiàn)kibana界面。. x. x. x:5601完裝成功最后檢查所有端口ss -Int應(yīng)該會看到elasticsearch 的9200 9300logstash 的 5044kibana 的5601證明安裝成功3、ELK使用實驗登錄ELK服務(wù)器 創(chuàng)立并編輯logstash酉遭文件cp /etc/logstash/logstash-sample. conf /etc/logstash/conf, d/bind. conf vim /etc/logstash/conf, d/bind.conf 如圖修改配置Sample Logstash configuration for creating a simpleBeats - Logstash - Elasticsearch pipeline.input tcp (port = 5144type = syslo0)output elasticsearch (hosts = index =： t(l t ad t | sr#user = elastic#password = ,changemeu)啟動ELKsystemctl start logstash elas