출처:http://egloos.zum.com/repository/v/5842610

 

 

Snort_설치&실습.pdf

 

수리카타 설정

 

[ 패키지 모니터링 및 차단 ]
# 백그라운드로 실행(-D)
# suricata -D -c /etc/suricata/suricata.yaml --af-packet => 컴파일 시 af-packet을 지원해야한다.
# suricata -D -c /etc/suricata/suricata.yaml -i br0  => br0은 브릿지 모드이다.

[ 로그 확인 ]
# /etc/suricata/suricata.yaml파일의 설정에 따라 로그가 생성된다.
# ls /var/log/suricata (아래는 기본 로그이다.)
     fast.log => 룰에 의한 접속 로그
     http.log => http호출 헤더 정보
     stat.log => 필터링 Counter, TM Name, Value를 보여줌
     unified2.alert.숫자 => 접속 페이지 소스 저장
      
[ 환경 설정 ]
#rules 설정 파일 : /etc/suricata/suricata.yaml   =>룰파일 추가 및 수정 시 적용 위치
                  default-rule-path: /etc/suricata/rules
                  rule-files:
                  - botcc.rules
                  - ciarmy.rules
                  - compromised.rules
#남기고자하는 상태를 no->yes로 바꾸면 해당 파일로 로그가 생성된다.
예)   - drop:
          enabled: yes
          filename: drop.log
          append: yes

행위 설정 파일 : /etc/suricata/rules/*.rules
                  alert http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS 어쩌구 저쩌구
                  alert가 행위 상태를 말해준다. 만약 drop이 필요하면 아래와 같이 한다.
                  pass, drop, reject, alert 모드가 있다.
                  drop http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS 어쩌구 저쩌구
# 실행 모드를 ips를 적용해야 패킷 drop이 가능하다.
af-packet:
    copy-mode: ips

사이트 참고 - https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml

*) - 로그 관리를 해주자. 무시하면 디스크 풀난다.
   - 룰 다운로드 : https://rules.emergingthreats.net/open/


[ 기타 ]
# 특정 포트 대역을 차단하는 iptables룰이다.
# 토렌트의 경우 랜덤한 포트를 사용하기때문에 차단에 한계가 있다.
iptables -I FORWARD -p tcp -m multiport --dports 6882:6899 -m iprange --src-range 10.0.0.1-10.0.0.255 -j DROP
iptables -I FORWARD -p udp -m multiport --dports 6882:6899 -m iprange --src-range 10.0.0.1-10.0.0.255 -j DROP

* 룰 형식이 필요하면 아래 사이트를 방문하자.
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules

출처: http://moaimoai.tistory.com/100

 

1. 설치 환경


리눅스 환경의 IDS를 설치하기 위해 많은 리눅스 기반의 OS 중 Ubuntu OS를 선택했다. 

Ubuntu 버전은 14.04.1 (32bit)이고 이것은 현재 최신 버전이다. IDS 프로그램 또한 최신 버전을 선택했다.

Suricata와 Bro는 모두 무료버전이므로 어느 버전을 설치해도 무관하다.

본 블로그에서는 각 다른 이미지에 개별적으로 설치하여 테스트했다.


1) Ubuntu 버전



2) Suricata (수리카타) 버전


링크 : http://suricata-ids.org/



3) Bro (브로) 버전


링크 : https://www.bro.org/




2. Suricata 설치


1) Suricata 최신버전을 설치하기 위해 다음과 같은 명령어를 입력한다.


 sudo add-apt-repository ppa:oisf/suricata-stable



2) 다음과 같은 질문이 나오면 엔터를 입력한다.



3) 업데이트 명령어를 입력한다.


 sudo apt-get update



4) 설치 명령어를 입력한다.


 sudo apt-get install suricata 

 



5) 다음의 질문이 나오면 y 를 입력한다.



6) 설치가 완료되었다.



3. Bro 설치


1) 설치하기 전에 다음과 같은 항목을 설치해주어야 한다.




2) 따라서 다음과 같은 명령어를 통해 위의 항목들을 설치한다.


 sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev 

 

 



3) 다음 질문이 나타나면 y 를 입력한다.



4) 모든 필요 항목들이 설치되었다.



5) bro와 binpac을 다운 받는다.


6) 현재 폴더에 파일의 압축을 해제한다.


7) 터미널을 실행시켜 파일을 다운로더 폴더로 이동시킨다.



8) 다음 명령어로 bro을 설치한다.


 sudo ./configure

 make

 sudo make install






9) 설치가 완료되었다.

+ Recent posts