Snort & Snorby
1. Snort 설치 및 설정 1-1. snort 설치 > mkdir /usr/local/snort > cd /usr/local/snort > wget https://www.snort.org/downloads/snort/snort-2.9.9.0.tar.gz 스노트는 2.9 버전 부터 패킷 I/O 데이터 수집을 위해 DAQ를 사용한다고 합니다. DAQ 간단한 설명(https://www.snort.org/faq/readme-daq) 1-2. daq 설치 > wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
1. Snort 설치 및 설정 1-3. daq 압축 해제 및 설치 > tar -xvzf daq-2.0.6.tar.gz > cd daq-2.0.6.tar.gz > ./configure > make && make instal > ERROR! Libpcap library version >= 1.0.0 not found” 발생시 (> yum -y install libpcap-devel)
1. Snort 설치 및 설정 1-4. snort 압축 해제 및 설치 > tar -xvzf snort-2.9.9.0.tar.gz > cd snort-2.9.9.0 > ./configure --enable-sourcefire > make && make install pcre error 발생시 (> yum -y install pcre-devel)
1. Snort 설치 및 설정 1-4. snort 압축 해제 및 설치 (계속) dnet error 발생시 > wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz > tar -xvzf libdnet-1.11.tar.gz > cd libdnet-1.11 > ./configure &&make &&make install
1. Snort 설치 및 설정 1-5. snort 동작 확인 > snort -v -i eth0
2.Snort rule 설정 2-1. rule download 스노트는 세 개의 룰을 제공한다. 그 중 회원가입 후 이용가능한 Registered를 이용한다. https://snort.org/downloads에서 snortrules-snapshot-2983.tar.gz를 받는다.
2.Snort rule 설정 2-2. snort.conf 설정 :set nu 로 줄 번호를 출력하여 줄 번호로 간다. 45번 줄 ipvar HOME_NET any → ipvar HOME_NET localhost 104번 줄 var RULE_PATH ../rules → var RULE_PATH /etc/snort_rule/rules 105번 줄 var SO_RULE_PATH ../so_rules → var SO_RULE_PATH /etc/snort_rules/so_rules 106번 줄 var PREPROC_RULE_PATH ../preproc_rules → var PREPROC_RULE_PATH /etc/snort_rules/preproc_rules 109번 줄 var WHITE_LIST_PATH ../rules → var WHITE_LIST_PATH /etc/snort_rule/rules 110번 줄 var BLACK_LIST_PATH ../rules → var BLACK_LIST_PATH /etc/snort_rule/rules :WQ > touch /etc/snort_rule/rules/white_list.rules /etc/snort_rule/rules/black_list.rules
2.Snort rule 설정 2-2. snort 동작 확인 > snort -T -i eth0 -c /etc/snort_rule/etc/snort.conf 2-3. local rule 추가 > vi /etc/snort_rule/rules/local.rules > vi /etc/snort_rule/etc/sid-msg.map 2-4. rule 동작 확인 snort -i eth0 -c /etc/snort_rule/rules/local.rules 실행 하신뒤 다른 컴퓨터에서 핑을 보내면 /var/log/snort/alert 저장이됩니다.
3.Snorby 3-1. Snorby? > Snorby는 루비 스크립트로 작성된 웹 응용 프로그램이다. > 바이너리 출력 형식으로 이벤트를 기록한다. > Snorby는 침입탐지 시스템인 Snort, Suricata, Sagan을 통합한 프로그램이다. > 개인 및 기업 모두 사용을 위한 무료, 오픈 소스를 제공하여 > 네트워크 모니터링 이용에 높은 경쟁력을 만들 수 있다 [출처] http://boansecurity.blogspot.kr/2016/08/snorby-installing-snorby-for-snort.html
3.Snorby 3-2.Snorby 설치 > http,mysql > ImageMagick > wkhtmltopdf > Ruby > RVM
3.Snorby 3-2.Snorby 설치 > wget -O snorby.zip --no-check-certificate https://github.com/Snorby/snorby/archive/master.zip 3-3. Snorby 동작 > rails server thin -e production
3.Snorby 3-3. Snorby 동작(계속) > snort -c /etc/snort/snort.conf
3.Snorby 3-3. Snorby 동작(계속) > barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.u2
3.Snorby 3-3. Snorby 동작(계속) >http://IP:3000
3.Snorby 3-3. snorby 동작(계속)
3.Snorby 3-3.snorby 동작(계속)