Snort를 설치 해 보신 분은 많으리라 생각됩니다.
설치 후에 이런것이 있구나!
이런식으로 탐지하는 구나!
하지만 직접 룰을 만들고 테스트하고 어떻게 하면 좋은 룰을 만들까에 대한 고민은
IDS를 전문적으로 다루는 분외에는 드물거라 생각됩니다.
Snort를 포스팅 하겠다는 계획을 잡을 때
설치보다는 그 후 룰작성과, 어떻게 하면 효율적으로 이용할 것인가에 중점을 두고 계획을 잡았습니다.
허나 설치과정 또한 쉽게 넘어 갈 순 없다고 생각됩니다.
우선 Snort를 어떻게 설치 하는지 보여드리고 그 이후에 좀더 자세한 Snort 이용에 대하여 포스팅을 하도록 하겠습니다.
Snort관련하여 중간중간에 다른 포스팅이 올라 갈수도 있습니다. 그점 이해해주시구요~
자 Snort를 설치 해보겠습니다.
Snort는 기본적으로 리눅스 버전과 윈도우 버전이 있습니다.
Default로 리눅스 버전은 쉽게 받을 수 있지만 윈도우 버전은 특정 경로에서 다운 받습니다.
Snort를 설치하기 이전에 많은 것을 고려해야 합니다.
Snort를 이용하여 실제로 침입탐지를 할 것인가, 아니면 보조용으로 쓸 것인가, 개발용인가, 배우기 위한 실습용인가.
용도에 따라 Snort서버의 능력도 달라 질 것입니다.
Snort 홈페이지에서는 default로 리눅스 버전을 받을 수 있습니다.
윈도우 버전은 특정경로에서 다운 받아야합니다.
아래 경로에서 받으시면 되겠습니다.
http://snort.org/dl/binaries/win32/
물론 최신 버전으로요 ^^
우선 윈도우 2003 으로 시작하겠습니다.
OS 설치는 따로 설명 안하겠습니다.
Snort 는 winpcap 라이브러리로 부터 패킷을 전달받고 분석합니다.
따라서 Snort를 깔기 이전에 winpcap이 깔려야 됩니다.
만약 winpcap이 제대로 깔리지 않았다면 Snort는 올바르게 동작할 수 없습니다.
http://www.winpcap.org/install/default.htm
이곳에서 winpcap을 받아서 깔아줍니다.
http://snort.org/dl/binaries/win32/
다음은 윈도우용 Snort를 받아서 설치 합니다.
GNU 라이센스에 동의하구요.
인스톨 옵션에서는 첫 번째 것을 선택하겠습니다.
Mysql, ODBC 등을 사용하기 위해서입니다.
두 번째옵션은 mssql이구요 세 번째는 oracle입니다.
다음 컴포넌트들은 전부 깔아주고요
디렉터리는 c:\snortapps\snort로 하겠습니다.
디렉터리는 임의대로 해도 상관 없겠습니다.
자 이제 다 설치 했으니 실행해 보면~ 안되겠죠~
Configration을 해야합니다.
자 c:\snortapps\snort\etc\snort.conf 를 수정하겠습니다.
Notepad로 열 경우 글이 깨지기 때문에
다른 툴을 써서 수정하겠습니다.
워드패드나, 울트라 에디터, 아크로 에디터 등이 있죠.
이 파일을 보게되면 여러가지 셋팅을 하게 되어있습니다.
네트워크, 룰, output, include 등이 있습니다.
첫째로 네트워크 셋팅을 하죠.
var HOME_NET 10.0.0.0/8
이것은 자신의 네트워크 설정으로 마추어 줍니다.
/뒤는 CIDR로 자신의 서브넷 마스크를 표시해 주면 됩니다.
다음은 룰입니다.
룰이 들어있는 디렉터리를 셋팅 해 줍니다.
Snort는 룰을 기반으로 공격을 찾아 경고 해 줍니다.
var RULE_PATH c:\snortapps\snort\rules
바로 밑에 것도 똑같이 넣어줍니다.
다음은 preprocessor 셋팅입니다.
194번째 줄에서 dynamicpreprocessor directory 셋팅부분의 경로를 알맞게 고쳐줍니다.
dynamicpreprocessor directory c:\snortapps\snort\lib\snort_dynamicpreprocessor
다음은 output 셋팅입니다.
Output은 snort에서 중요합니다. 어떻게 내게 정보를 보여 줄 것인가에 대한 것입니다.
# output log_tcpdump: tcpdump.log
output alert_fast: alert.ids
위 주석 달린 부분을 찾아 밑에 한줄을 넣어줍니다.
이것은 snort가 fire 됐을 때 경고메시지를 log폴더에 alert.ids파일 이름으로 남긴다는 것입니다.
다음은 output을 DB로 보내는 셋팅을 하겠습니다.
Mysql을 깔기 이전에
User, passwd, dbname, hostname 을 정해봅니다.
Hostname은 윈도우 설치시 입력 했던것과 같습니다.
내컴퓨터 오른쪽 마우스 누른 뒤 속성에서 컴퓨터이름 탭의 변경을 누르면 바꿀 수 있습니다.
물론 127.0.0.1로 나중에 입력해도 무방합니다.
다음으로
# output database: log, mysql, user=root password=test dbname=db host=localhost
위 줄을 찾아서 수정해 줍니다.
예를 들어 제 경우는
output database: log, mysql, user=snortuser password=snortuserpw dbname=snortdb host=127.0.0.1 port=3306 sensor_name=snortsensor
이렇습니다.
그 밑으로 alert 까지
output database: alert, mysql, user=snortuser password=snortuserpw dbname=snortdb host=127.0.0.1 port=3306 sensor_name=snortsensor
수정 하겠습니다.
다음은 include 부분입니다.
Include classfication.config
이 줄을 찾아서
include c:\snortapps\snort\etc\classification.config
이렇게 바꾸어 주겠습니다.
그 밑에
include c:\snortapps\snort\etc\reference.config
이것도 마찬가지 ^^;
다음으로는 아래의 경로에서 rule들을 받아줍니다.
http://www.snort.org/pub-bin/downloads.cgi
Snort 홈페이지 회원 등록 후 받는 rule들이 더 디테일 할 수 있습니다.
물론 $를 지불하게 되면 sourcefire의 VRT에게서 좀 더 자세한 룰들을 얻을 수 있습니다.
Rule 폴더 안에 풀어줍니다.
Doc\signature는 doc\signature 안으로 복사해 줍니다.
Snort -W 를 실행 해 봅니다.
그러면 자신의 NIC카드가 보입니다.
다음으로
Snort -v -i 2 (중요)!! 네트워크 카드 번호는 누구나 다를 수 있습니다.
실행해 봅니다.
I 옵션은 NIC카드 번호를 선택하는 것입니다.
Alert가 상당히 나옵니다.
여기서 움찔 하면 안됩니다
Ctrl+c 눌러주세요~
자 여기까지 하셨으면 다음 포스팅으로 넘겨서 이어가겠습니다.
다음 포스팅에서는 mysql 설치와 GUI 기반의 툴을 연동 시키겠습니다.
STG 배상우 님이 쓰신 글, Sunil Vakharia님이 쓰신 글, 출저가 불분명한 문서들과
http://leonward.wordpress.com/2008/07/18/not-using-pcap_frames-aka-when-good-verbosity-goes-bad/
http://cafe.naver.com/snortonlinux.cafe
http://www.internetsecurityguru.com/
등의 사이트 참조를 토대로 작성되었습니다.
---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************
