Snort 환경 구축
2024. 1. 14. 20:02ㆍ보안관제
목차
- winpcap
- snort
- xampp
- AdoDB
- base
- Notepad++
- snort.conf
- snort DB 연동 설정
- PING 테스트
Winpcap
- Winpcap: 자신의 컴퓨터 NIC로 흘러 들어오는 패킷들을 확인할 수 있는 윈도우 전용 패킷 분석 프로그램
- 어플리케이션 계층에서 NIC 직접 접근이 가능하도록 해줌
- 해당 프로그램이 있어야 Snort에서 패킷을 읽어들일 수 있음
Snort
Snort_2_9_2_3_Installer.exe
3.50MB
- Snort 2.9.2.3 ver 설치
- 3 버젼은 리눅스 전용이며, 윈도우에서는 2.9.20이 최신 버젼이기는 하지만, 안정적이지 않으며, 오류가 많음
- 그보다 구버젼인 2.9.2.3은 안정적이며 나아가 자체적으로 스키마 파일을 제공해주는 가장 마지막 버젼이기도함.
- 설치하는데 딱히 다른 설정 건드리지 않고, Next 눌러 진행
Xampp
- 크로스 플랫폼 웹 서버 자유 소프트웨어 패키지
- Apache Web Server, MySQL, PHP를 사용할 수 있는 프로그램을 단기간에 빠르게 설치 가능하게함.
- Snort 로그 파일이 2진수 형태로 저장되기에 분석하는데 힘듦으로 Snort를 DB와 연동시켜 좀 더 쉽게 분석하기 위함
adodb5
- php 데이터베이스 클래스 라이브러리
- PHP DB 관리하는데 유용한 라이브러리
Base 1.4.5
- Snort 시스템 탐지 로그를 분석하는데 웹 프로트 엔드를 제공해주는 파일
- 압축해제한 base 프로그램을 해당 경로에 복사 붙여넣기하면 끝
- 그러면 base 프로그램이 adodb5 라이브러리를 이용하여 snort db에 접근한 뒤, 저장된 탐지로그를 불러와서 웹 프론트엔드상에 집계를 해줌
Notepad++
- Notepad++가 있어야 snort.conf 수정이라든가 snort.rule 생성등을 할 수가 있음
- 메모장으로 열면 해당 파일이 깨짐
Snort.conf 수정
- snort 설정 파일이 애초에 리눅스에 맞게 설정되어 있어서 윈도우에 맞게 설정해줘야함
경로에 맞게 해당 파일들도 생성
- icmp 프로토콜 패킷 올 시 탐지할 수 있도록 설정
- => 나중에 PING 테스트시 사용할 예정
Snort DB 연동 설정
- XAMPP 설치 후 MYSQL 초기 비번이 설정되어 있지 않기에 화면에 보이는 명령어를 통해 비번 설정을 해야함.
- 특수문자 입력시 snort.conf 파일 검증시 에러가 뜨니 주의
- 저렇게 붙여넣기를 해주어야 snort DB 생성후 해당 DB 안에 create_mysql 스키마가 적용됨
- Report 부분을 Mail로 보내주는 소스코드인데 해당 파일이 없어서 오류가 뜨기에 주석처리
Ping 테스트
- snort.exe가 있는 폴더에 들어가서
- 네트워크 인터페이스 현황 확인한 뒤,
- 마지막 명령어를 통해 T 옵션으로 Snort.conf 검증 테스트 하기
- -t 옵션을 -c 옵션으로 바꿔서 명령어를 입력하면, 실시간으로 snort 가동시켜 패킷 탐지하기
- 이때, test.rule 파일을 통해 ICMP 패킷을 탐지하도록함.
- Victim 이라는 가상컴퓨터 따로 생성
- Victim에서 Server로 PING 보내기
- 위 경로에 접속시, ICMP가 집게 된 것을 확인 출발지: Victim 가상 PC 목적지: Snort 환경 구성한 서버 PC
'보안관제' 카테고리의 다른 글
| 악성코드 샘플 분석 3 (0) | 2024.01.21 |
|---|---|
| Snort (0) | 2023.11.18 |
| 악성 코드 샘플 분석 2 (0) | 2023.11.04 |
| 악성코드 샘플 분석 1 (0) | 2023.10.15 |
| 정적, 동적 Tool 실습 (0) | 2023.09.18 |