콘텐츠
- 침입 탐지 시스템을 설정하는 이유는 무엇입니까?
- Snort 패키지 설치
- Oinkmaster 코드 얻기
- Oinkmaster 코드를 얻으려면 아래 단계를 따르십시오.
- Snort에 Oinkmaster 코드 입력
- 수동으로 규칙 업데이트
- 인터페이스 추가
- 인터페이스 구성
- 규칙 범주 선택
- 규칙 범주의 목적은 무엇입니까?
- 규칙 범주에 대한 추가 정보를 얻으려면 어떻게해야합니까?
- Snort Rule 인기 카테고리
- 전 처리기 및 흐름 설정
- 인터페이스 시작
- Snort가 시작되지 않는 경우
- 경고 확인
Sam은 알고리즘 트레이딩 회사의 네트워크 분석가로 일하고 있습니다. 그는 UMKC에서 정보 기술 학사 학위를 받았습니다.
침입 탐지 시스템을 설정하는 이유는 무엇입니까?
해커, 바이러스 및 기타 위협이 지속적으로 네트워크를 조사하여 침입 할 방법을 찾고 있습니다. 해킹 된 시스템 하나만 있으면 전체 네트워크가 손상됩니다. 따라서 시스템을 안전하게 유지하고 인터넷의 다양한 위협을 모니터링 할 수 있도록 침입 탐지 시스템을 설정하는 것이 좋습니다.
Snort는 침입자로부터 가정 또는 회사 네트워크를 보호하기 위해 pfSense 방화벽에 쉽게 설치할 수있는 오픈 소스 IDS입니다. Snort는 IPS (침입 방지 시스템)로 작동하도록 구성 할 수도 있으므로 매우 유연합니다.
이 기사에서는 실시간으로 트래픽 분석을 시작할 수 있도록 pfSense 2.0에 Snort를 설치 및 구성하는 프로세스를 안내합니다.
Snort 패키지 설치
Snort를 시작하려면 pfSense 패키지 관리자를 사용하여 패키지를 설치해야합니다. 패키지 관리자는 pfSense 웹 GUI의 시스템 메뉴에 있습니다.
패키지 목록에서 Snort를 찾은 다음 오른쪽에있는 더하기 기호를 클릭하여 설치를 시작합니다.
snort를 설치하는 데 몇 분이 걸리는 것은 정상이며 pfSense가 먼저 다운로드하여 설치해야하는 몇 가지 종속성이 있습니다.
설치가 완료되면 Snort가 서비스 메뉴에 표시됩니다.
Snort는 pfSense 패키지 관리자를 사용하여 설치할 수 있습니다.
Oinkmaster 코드 얻기
Snort가 유용하려면 최신 규칙 세트로 업데이트해야합니다. Snort 패키지는 이러한 규칙을 자동으로 업데이트 할 수 있지만 먼저 Oinkmaster 코드를 얻어야합니다.
다음과 같은 두 가지 다른 Snort 규칙 집합을 사용할 수 있습니다.
- 구독자 릴리스 세트는 사용 가능한 최신 규칙 세트입니다. 이러한 규칙에 실시간으로 액세스하려면 유료 연간 구독이 필요합니다.
- 다른 버전의 규칙은 Snort.org 사이트에 등록하는 모든 사람에게 완전히 무료 인 등록 된 사용자 릴리스입니다.
두 규칙 세트의 주요 차이점은 등록 된 사용자 릴리스의 규칙이 구독 규칙보다 30 일 뒤에 있다는 것입니다. 최신 보호를 원하면 구독을 받아야합니다.
Oinkmaster 코드를 얻으려면 아래 단계를 따르십시오.
- 필요한 버전을 다운로드하려면 Snort 규칙 웹 페이지를 방문하십시오.
- '계정 등록'을 클릭하고 Snort 계정을 만듭니다.
- 계정을 확인한 후 Snort.org에 로그인하십시오.
- 상단 링크 바에서 '내 계정'을 클릭하십시오.
- '구독 및 Oinkcode'탭을 클릭하십시오.
- Oinkcodes 링크를 클릭 한 다음 '코드 생성'을 클릭하십시오.
코드는 계정에 저장되어 나중에 필요할 때 얻을 수 있습니다. 이 코드는 pfSense의 Snort 설정에 입력해야합니다.
Snort.org에서 규칙을 다운로드하려면 Oinkmaster 코드가 필요합니다.
Snort에 Oinkmaster 코드 입력
Oinkcode를 얻은 후 Snort 패키지 설정에 입력해야합니다. Snort 설정 페이지가 웹 인터페이스의 서비스 메뉴에 나타납니다. 표시되지 않으면 패키지가 설치되어 있는지 확인하고 필요한 경우 패키지를 다시 설치하십시오.
Oinkcode는 Snort 설정의 전역 설정 페이지에 입력해야합니다. 또한 Emerging Threats 규칙을 활성화하는 확인란을 선택하고 싶습니다. ET 규칙은 오픈 소스 커뮤니티에서 유지 관리하며 Snort 세트에서 찾을 수없는 몇 가지 추가 규칙을 제공 할 수 있습니다.
자동 업데이트
기본적으로 Snort 패키지는 규칙을 자동으로 업데이트하지 않습니다. 권장 업데이트 간격은 12 시간마다 한 번이지만 환경에 맞게 변경할 수 있습니다.
변경을 마치면 '저장'버튼을 클릭하는 것을 잊지 마십시오.
수동으로 규칙 업데이트
Snort에는 규칙이 없으므로 처음에 수동으로 업데이트해야합니다. 수동 업데이트를 실행하려면 업데이트 탭을 클릭 한 다음 업데이트 규칙 버튼을 클릭합니다.
패키지는 Snort.org에서 최신 규칙 세트를 다운로드하고 해당 옵션을 선택한 경우 새로운 위협도 다운로드합니다.
업데이트가 완료되면 규칙이 추출되고 사용할 준비가됩니다.
규칙은 Snort를 처음 설정할 때 수동으로 다운로드해야합니다.
인터페이스 추가
Snort가 침입 탐지 시스템으로 작동하기 전에 모니터링 할 인터페이스를 할당해야합니다. 일반적인 구성은 Snort가 모든 WAN 인터페이스를 모니터링하는 것입니다. 다른 가장 일반적인 구성은 Snort가 WAN 및 LAN 인터페이스를 모니터링하는 것입니다.
LAN 인터페이스를 모니터링하면 네트워크 내에서 진행되는 공격에 대한 가시성을 제공 할 수 있습니다. LAN 네트워크의 PC가 맬웨어에 감염되어 네트워크 내부 및 외부의 시스템에 대한 공격을 시작하는 것은 드문 일이 아닙니다.
인터페이스를 추가하려면 Snort 인터페이스 탭에있는 더하기 기호를 클릭하십시오.
인터페이스 구성
인터페이스 추가 버튼을 클릭하면 인터페이스 설정 페이지가 표시됩니다.설정 페이지에는 많은 옵션이 포함되어 있지만 작업을 시작하고 실행하기 위해 정말로 걱정해야 할 몇 가지 옵션이 있습니다.
- 먼저 페이지 상단의 활성화 상자를 선택하십시오.
- 다음으로 구성 할 인터페이스를 선택합니다 (이 예에서는 먼저 WAN을 구성합니다).
- 메모리 성능을 AC-BNFA로 설정합니다.
- barnyard2가 작동하도록 "통합 2 파일을 검색하는 로그 경고"확인란을 선택합니다.
- 저장을 클릭하십시오.
실행중인 경우 다중 완 라우터, 계속해서 시스템의 다른 WAN 인터페이스를 구성 할 수 있습니다. 또한 LAN 인터페이스를 추가하는 것이 좋습니다.
인터페이스를 시작하기 전에 각 인터페이스에 대해 구성해야하는 몇 가지 설정이 더 있습니다. 추가 설정을 구성하려면 Snort 인터페이스 탭으로 돌아가서 인터페이스 옆에있는 페이지의 오른쪽에있는 'E'기호를 클릭하십시오. 그러면 해당 특정 인터페이스에 대한 구성 페이지로 돌아갑니다. 인터페이스에 대해 활성화해야하는 규칙 범주를 선택하려면 범주 탭을 클릭합니다. 모든 탐지 규칙은 범주로 나뉩니다. Emerging Threats의 규칙이 포함 된 카테고리는 'emerging'으로 시작하고 Snort.org의 규칙은 'snort'로 시작합니다. 카테고리를 선택한 후 페이지 하단의 저장 버튼을 클릭합니다. 규칙을 범주로 나누면 관심있는 특정 범주 만 활성화 할 수 있습니다.보다 일반적인 범주 중 일부를 활성화하는 것이 좋습니다. 웹 또는 데이터베이스 서버와 같은 네트워크에서 특정 서비스를 실행하는 경우 해당 서비스와 관련된 범주도 활성화해야합니다. 추가 범주를 켤 때마다 Snort에 더 많은 시스템 리소스가 필요하다는 점을 기억하는 것이 중요합니다. 이는 또한 오 탐지 수를 증가시킬 수도 있습니다. 일반적으로 필요한 그룹 만 켜는 것이 가장 좋지만 범주를 자유롭게 실험하고 무엇이 가장 효과적인지 확인하십시오.규칙 범주 선택
규칙 범주의 목적은 무엇입니까?
규칙 범주에 대한 추가 정보를 얻으려면 어떻게해야합니까?
범주에 어떤 규칙이 있는지 알아보고 규칙이 수행하는 작업에 대해 자세히 알아 보려면 범주를 클릭하면됩니다. 카테고리 내의 모든 규칙 목록으로 직접 연결됩니다.
Snort Rule 인기 카테고리
| 카테고리 이름 | 기술 |
|---|---|
snort_botnet-cnc.rules | 알려진 봇넷 명령 및 제어 호스트를 대상으로합니다. |
snort_ddos.rules | 서비스 거부 공격을 감지합니다. |
snort_scan.rules | 이러한 규칙은 포트 스캔, Nessus 프로브 및 기타 정보 수집 공격을 감지합니다. |
snort_virus.rules | 알려진 트로이 목마, 바이러스 및 웜의 시그니처를 탐지합니다. 이 카테고리를 사용하는 것이 좋습니다. |
전 처리기 및 흐름 설정
활성화해야하는 전 처리기 설정 페이지에는 몇 가지 설정이 있습니다. 많은 탐지 규칙이 작동하려면 HTTP 검사를 활성화해야합니다.
- HTTP 검사 설정에서 'HTTP 검사를 사용하여 정규화 / 디코딩'을 활성화합니다.
- 일반 전 처리기 설정 섹션에서 'Portscan Detection'을 활성화합니다.
- 설정을 저장하십시오.
인터페이스 시작
새 인터페이스가 Snort에 추가 될 때 자동으로 실행을 시작하지 않습니다. 인터페이스를 수동으로 시작하려면 구성된 각 인터페이스의 왼쪽에있는 녹색 재생 버튼을 클릭합니다.
Snort가 실행 중이면 인터페이스 이름 뒤에있는 텍스트가 녹색으로 표시됩니다. Snort를 중지하려면 인터페이스 왼쪽에있는 빨간색 중지 버튼을 클릭합니다.
Snort가 시작되지 못하게하는 몇 가지 일반적인 문제가 있습니다.
Snort가 시작되지 않는 경우
경고 확인
Snort가 성공적으로 구성되고 시작된 후 규칙과 일치하는 트래픽이 감지되면 경고를보기 시작해야합니다.
경고가 표시되지 않으면 잠시 기다린 다음 다시 확인하십시오. 활성화 된 트래픽 및 규칙의 양에 따라 경고가 표시되기까지 다소 시간이 걸릴 수 있습니다.
원격으로 경고를 보려면 "기본 시스템 로그에 경고 보내기"인터페이스 설정을 활성화 할 수 있습니다. 시스템 로그에 나타나는 경고는 Syslog를 사용하여 원격으로보기.
이 기사는 저자가 아는 한 정확하고 사실입니다. 콘텐츠는 정보 제공 또는 오락 목적으로 만 제공되며 비즈니스, 재정, 법률 또는 기술 문제에 대한 개인 상담이나 전문적인 조언을 대체하지 않습니다.
