메뉴 건너뛰기

infra

[snort] 침입탐지시스템(IDS)

박영식2009.04.07 19:32조회 수 5123댓글 0

  • 2
    • 글자 크기
1. APM이 구축되어 있는 LINUX 서버에서
2. yum install libpcap*   // 별로 오래걸리지 않음
3. yum install pcre*     // 역시 금방 설치됨
4. www.snort.org에서 GET SNORT -> STABLE 을 DOWNLOAD 함
5. snort-2.8.x의 압축을 풀고 설치함
6. ./configure --with-mysql --prefix=/usr/local/snort
7. make; make install
8. mysql 에서 snort DB를 만들고 아래를 실행(물론 snort는 사용자가 snort이고, 모든 권한과 grant가 '예'로 설정한다)

#cd /root/snort-.2.X/schemas && ls -l
#less create_mysql
#scp create_mysql root@192.168.247.20:/root
#mysql -u root -p snort < create_mysql

9. nmap 설치(www.nmap.org)

rpm -vhU http://nmap.org/dist/nmap-4.85BETA7-1.i386.rpm

#namp -sV localhost

nmap.jpg]

10. adodb를 받아서 apache/htdocs에 압축을 푼다.
wget http://nchc.dl.sourceforge.net/sourceforge/adodb/adodb496a.tgz

11. base를 받아서 역시 apache/htdocs에 압축을 푼다
wget http://jaist.dl.sourceforge.net/sourceforge/secureideas/base-1.3.8.tar.gz

(Basic Analysis and Security Engine 는 log분석기 같은데, db에 저장된 내용을 분석하는 듯 싶다.)
htdocs/base로 옮겨 웹으로 실행한다.

12. snort.org에서 회원가입하고, 왼쪽의 Rule 클릭 후, 오른쪽의 Rule Download를 클릭 후, 두번째 registered user release의 rule을 받는다.(subscription release는 subscriber만 받을 수 있다)

13. http://www.filewatcher.com/p/snort-rules-default_2.3.3-11_all.deb.233592/etc/snort/rules.htm
위의 사이트에서는 debian 형태로 download가능하다. 느려서 나는 snort.conf에 include된 rule file을 모두 주석처리 했다.
14. Preprocessor 나 snort_dynamicengine/libsf_engine.so 의 경로가 틀렸다는 메세지, alert 로그 폴더나 파일이 없다는 메세지가 나오면 경로를 세팅해 주고, file과 directory를 생성해 주면 무리없이 아래의 명령으로 conf파일을 로딩하여 snort를 실행할 수 있다.

# vi 경로/snort.conf
아래 행을 찾아서 주석을 제거하면 mysql에 기록할 수 있다.
 output database: log, mysql, user=snort password=snort비번 dbname=snort디비 host=localhost
 output database: alert, mysql, user=snort password=snort비번 dbname=snort디비 host=localhost

# /usr/local/snort/bin/snort -c /home/archi/Download/snort-2.8.3.2/etc/snort.conf

*잘못 설치하여 재 설치 할 때,
초기 cofigurtion 경로 snort-2.x.x.x 에서
# make clean
한 후에, 6번부터 다시 실행 한다.

rule은 잘 모르겠다. 적어도 rules/ftp.rules 에

 alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"FTP EXPLOIT pro-ftpd Linux"; flow:to_server, established; content: "PWD"; reference:bugtraq,1387; reference:CVE,CAN-2000-0573; reference:arachnids,287; classtype:attempted-admin; sid:344; rev:4;)

위와 같이 추가하면, log를 남길 수 있다. 그런데, 알 수 없는 형태의 snort.log.xxxxxxxxx 파일이 생성되어 읽을 수 없다.
db test결과 data 테이블에 기록된 것을 확인 할 수 있었고, BASE를 통해 log를 읽을 수 있었다.
snort.jpg

박영식 (비회원)
  • 2
    • 글자 크기
[우분투] 메일 서버 설정 (by 박영식) Eclipse에서 php와 c/c++, ftp 사용하기 (by 박영식)

댓글 달기

박영식
2011.04.29 조회 6045
박영식
2009.08.01 조회 5409
lispro06
2016.03.30 조회 4588
첨부 (2)
nmap.jpg
37.3KB / Download 74
snort.jpg
35.0KB / Download 84
위로