이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:



Snort를 설치 해 보신 분은 많으리라 생각됩니다.
설치 후에 이런것이 있구나!
이런식으로 탐지하는 구나!
하지만 직접 룰을 만들고 테스트하고 어떻게 하면 좋은 룰을 만들까에 대한 고민은
IDS를 전문적으로 다루는 분외에는 드물거라 생각됩니다.

Snort를 포스팅 하겠다는 계획을 잡을 때
설치보다는 그 후 룰작성과, 어떻게 하면 효율적으로 이용할 것인가에 중점을 두고 계획을 잡았습니다.
허나 설치과정 또한 쉽게 넘어 갈 순 없다고 생각됩니다.

우선 Snort를 어떻게 설치 하는지 보여드리고 그 이후에 좀더 자세한 Snort 이용에 대하여 포스팅을 하도록 하겠습니다.
Snort관련하여 중간중간에 다른 포스팅이 올라 갈수도 있습니다. 그점 이해해주시구요~
 

Snort 설치 해보겠습니다.

 

Snort는 기본적으로 리눅스 버전과 윈도우 버전 있습니다.

Default로 리눅스 버전 쉽게 받을 있지만 윈도우 버전은 특정 경로에서 다운 받습니다.

Snort 설치하기 이전에 많은 것을 고려해야 합니다.

Snort 이용하여 실제로 침입탐지를 것인가, 아니면 보조용으로 것인가, 개발용인가, 배우기 위한 실습용인가.

용도에 따라 Snort서버의 능력도 달라 것입니다.

Snort 홈페이지에서는 default 리눅스 버전을 받을 있습니다.

윈도우 버전은 특정경로에서 다운 받아야합니다.

아래 경로에서 받으시면 되겠습니다.

http://snort.org/dl/binaries/win32/

물론 최신 버전으로요 ^^

 

우선 윈도우 2003 으로 시작하겠습니다.

OS 설치는 따로 설명 안하겠습니다.

 

Snort winpcap 라이브러리로 부터 패킷을 전달받고 분석합니다.

따라서 Snort 깔기 이전에 winpcap 깔려야 됩니다.

만약 winpcap 제대로 깔리지 않았다면 Snort 올바르게 동작할 없습니다.

 

http://www.winpcap.org/install/default.htm

 

이곳에서 winpcap 받아서 깔아줍니다.

 

http://snort.org/dl/binaries/win32/

 

다음은 윈도우용 Snort 받아서 설치 합니다.

 

GNU 라이센스에 동의하구요.

인스톨 옵션에서는 번째 것을 선택하겠습니다.

Mysql, ODBC 등을 사용하기 위해서입니다.

번째옵션은 mssql이구요 번째는 oracle입니다.

다음 컴포넌트들은 전부 깔아주고요

디렉터리는 c:\snortapps\snort 하겠습니다.

디렉터리는 임의대로 해도 상관 없겠습니다.

 

이제 설치 했으니 실행해 보면~ 안되겠죠~

 

Configration 해야합니다.

 

c:\snortapps\snort\etc\snort.conf 수정하겠습니다.

Notepad 경우 글이 깨지기 때문에

다른 툴을 써서 수정하겠습니다.

워드패드나, 울트라 에디터, 아크로 에디터 등이 있죠.

 

 

파일을 보게되면 여러가지 셋팅을 하게 되어있습니다.

네트워크, , output, include 등이 있습니다.

 

첫째로 네트워크 셋팅을 하죠.

var HOME_NET 10.0.0.0/8

이것은 자신의 네트워크 설정으로 마추어 줍니다.

/뒤는 CIDR 자신의 서브넷 마스크를 표시해 주면 됩니다.

 

다음은 룰입니다.

룰이 들어있는 디렉터리를 셋팅 줍니다.

Snort 룰을 기반으로 공격을 찾아 경고 줍니다.

 

var RULE_PATH c:\snortapps\snort\rules

바로 밑에 것도 똑같이 넣어줍니다.

 

다음은 preprocessor 셋팅입니다.

194번째 줄에서 dynamicpreprocessor directory 셋팅부분의 경로를 알맞게 고쳐줍니다.

dynamicpreprocessor directory c:\snortapps\snort\lib\snort_dynamicpreprocessor

 

다음은 output 셋팅입니다.

Output snort에서 중요합니다. 어떻게 내게 정보를 보여 것인가에 대한 것입니다.

 

# output log_tcpdump: tcpdump.log

output alert_fast: alert.ids

주석 달린 부분을 찾아 밑에 한줄을 넣어줍니다.

이것은 snort fire 됐을 경고메시지를 log폴더에 alert.ids파일 이름으로 남긴다는 것입니다.

 

다음은 output DB 보내는 셋팅을 하겠습니다.

Mysql 깔기 이전에

User, passwd, dbname, hostname 정해봅니다.

Hostname 윈도우 설치시 입력 했던것과 같습니다.

내컴퓨터 오른쪽 마우스 누른 속성에서 컴퓨터이름 탭의 변경을 누르면 바꿀 있습니다.

물론 127.0.0.1 나중에 입력해도 무방합니다.

 

다음으로

# output database: log, mysql, user=root password=test dbname=db host=localhost

줄을 찾아서 수정해 줍니다.

예를 들어 경우는

output database: log, mysql, user=snortuser password=snortuserpw dbname=snortdb host=127.0.0.1 port=3306 sensor_name=snortsensor

이렇습니다.

밑으로 alert 까지

output database: alert, mysql, user=snortuser password=snortuserpw dbname=snortdb host=127.0.0.1 port=3306 sensor_name=snortsensor

수정 하겠습니다.

 

다음은 include 부분입니다.

Include classfication.config

줄을 찾아서

include c:\snortapps\snort\etc\classification.config

이렇게 바꾸어 주겠습니다.

밑에

include c:\snortapps\snort\etc\reference.config

이것도 마찬가지 ^^;

 

다음으로는 아래의 경로에서 rule들을 받아줍니다.

http://www.snort.org/pub-bin/downloads.cgi

Snort 홈페이지 회원 등록 받는 rule들이 디테일 있습니다.

물론 $ 지불하게 되면 sourcefire VRT에게서 자세한 룰들을 얻을 있습니다.

Rule 폴더 안에 풀어줍니다.

Doc\signature doc\signature 안으로 복사해 줍니다.

 

 

Snort -W 실행 봅니다.

그러면 자신의 NIC카드가 보입니다.

 

 

다음으로

Snort -v -i 2 (중요)!!  네트워크 카드 번호는 누구나 다를 있습니다.

실행해 봅니다.

I 옵션은 NIC카드 번호를 선택하는 것입니다.

 

 

Alert 상당히 나옵니다.

여기서 움찔 하면 안됩니다

Ctrl+c 눌러주세요~

 

여기까지 하셨으면 다음 포스팅으로 넘겨서 이어가겠습니다.
다음 포스팅에서는 mysql 설치와 GUI 기반의 툴을 연동 시키겠습니다.


STG 배상우 님이 쓰신 글, Sunil Vakharia님이 쓰신 글, 출저가 불분명한 문서들과
http://leonward.wordpress.com/2008/07/18/not-using-pcap_frames-aka-when-good-verbosity-goes-bad/

http://cafe.naver.com/snortonlinux.cafe
http://www.internetsecurityguru.com/
등의 사이트 참조를 토대로 작성되었습니다.

---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 미남닷컴

댓글을 달아 주세요

  1. Favicon of https://www.extraman.net BlogIcon ^________________^ 2009.03.28 00:21 신고  댓글주소  수정/삭제  댓글쓰기

    음..깔끔하니 정리 잘 하셨네여..
    앞으로 snort 설치할때 참고 해야겠네요..(기회가 있을지.^^;)

  2. Favicon of https://whoaru.tistory.com BlogIcon 후아유! 2009.03.29 14:44 신고  댓글주소  수정/삭제  댓글쓰기

    초보자를 위해서 스노트가 뭐하는 도구인지도 먼저 설명해주셨으면 좋았을것같아요^^
    좋은 포스팅 감사합니다^^

  3. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.03.29 18:45 신고  댓글주소  수정/삭제  댓글쓰기

    이 참에 다시 한번 미남닷컴님의 Snort 관련 포스팅을 보면서 설치를 해봐야 겠네요..^^
    (얼마전에 Snort를 깔아 보긴 했지만, 정상적으로 완벽하게 IDS를 구현을 못해봤습니다ㅠ_ㅠ)
    미남닷컴님 좋은 내용의 포스팅 감사드립니다..^^
    복 받으실꺼예요~~!>ㅇ<

  4. Favicon of http://fbsecurity.tistory.com BlogIcon 잽싼곰탱 2009.04.01 01:17 신고  댓글주소  수정/삭제  댓글쓰기

    직접 따라서 설치해봐야죠~ㅋ 감사합니다~

  5. 하하송 2009.08.17 23:03  댓글주소  수정/삭제  댓글쓰기

    궁금한게 있는데요`~

    output database: alert, mysql, user=snortuser password=snortuserpw dbname=snortdb host=127.0.0.1 port=3306 sensor_name=snortsensor

    이부분에서 host=127.0.0.1 과 port=3306이것은 무었인가요?

    그리고 Snort -W 를 실행해 봅니다.. 라고 할때
    나오는 도스창은 어디서 실행한건가요? 일반 cmd에서
    저기 폴더로 들어간후 치는건가요?

    • Favicon of https://boanin.tistory.com BlogIcon garnetiger 2009.08.17 23:53 신고  댓글주소  수정/삭제

      짧은 지식이나마 짐작해 보는데
      127.0.0.1 은 보통 localhost를 나타냅니다
      자기 컴퓨터를 호스트로 잡는거죠
      포트넘버3306이면 쉽게말해서 3306이라고 이름이 붙어있는 문을 열어놓고 그곳으로 데이터를 주고 받는다는 것일거 같습니다 ^^

  6. 예리예리석 2012.12.06 19:17  댓글주소  수정/삭제  댓글쓰기

    완전 잘보고 갑니다.
    보고 따라해서 2시간만에 설치 했네요 ㅎㅎ
    이제 mysql 설치와 gui 환경 설치하러 다음 포스팅으로 넘어갑니다 ㅎㅎ

  7. Favicon of http://www.timberlandbaratas.com BlogIcon Hombre Timberland 2012.12.25 12:41  댓글주소  수정/삭제  댓글쓰기

    Une cérémonie religieuse en mémoire de Bernard Mazières, http://www.timberlandbaratas.com timberland españa, ancien journaliste politique du Parisien assassiné, http://www.timberlandbaratas.com Hombre Timberland, aura lieu vendredi à 14H30 en l'église Saint-Sulpice à Paris dans le VIe arrondissement, http://www.timberlandbaratas.com timberland, a annoncé lundi Le Parisien/Aujourd'hui en France, http://www.timberlandbaratas.com Mujer Timberland. Cette cérémonie avait été prévue dans un premier temps mardi mais elle a d, http://www.timberlandbaratas.com Timberland Online? être reportée en raison de l'enquête de police, http://www.timberlandbaratas.com Timberland, selon la même source. Le fils de Bernard Mazières et un autre jeune homme ont été mis en examen pour assassinat et incarcérés vendredi dans le cadre de l'enquête sur la mort du journaliste.Related articles:


    http://arsens.tistory.com/14 Never fear though

    http://sallyslaw.tistory.com/category/?page=4 Marine Le Pen

  8. Favicon of http://www.parcheggiromatiburtina.it/index.php?option=com_k2&view=itemlist&tas.. BlogIcon kimho990 2020.11.19 23:36  댓글주소  수정/삭제  댓글쓰기

    도움되는 글 잘 배우고 갑니다

  9. Favicon of http://www.linkagogo.com/go/To?url=108761602 BlogIcon jaehun999 2020.11.26 02:13  댓글주소  수정/삭제  댓글쓰기

    유용한 내용 매우 잘 배우고 가요