Download presentation
Presentation is loading. Please wait.
1
Snort & Snorby
2
1. Snort 설치 및 설정 1-1. snort 설치 > mkdir /usr/local/snort
> cd /usr/local/snort > wget 스노트는 2.9 버전 부터 패킷 I/O 데이터 수집을 위해 DAQ를 사용한다고 합니다. DAQ 간단한 설명( 1-2. daq 설치 > wget
3
1. Snort 설치 및 설정 1-3. daq 압축 해제 및 설치 > tar -xvzf daq-2.0.6.tar.gz
> cd daq tar.gz > ./configure > make && make instal > ERROR! Libpcap library version >= 1.0.0 not found” 발생시 (> yum -y install libpcap-devel)
4
1. Snort 설치 및 설정 1-4. snort 압축 해제 및 설치
> tar -xvzf snort tar.gz > cd snort > ./configure --enable-sourcefire > make && make install pcre error 발생시 (> yum -y install pcre-devel)
5
1. Snort 설치 및 설정 1-4. snort 압축 해제 및 설치 (계속) dnet error 발생시
> wget > tar -xvzf libdnet-1.11.tar.gz > cd libdnet-1.11 > ./configure &&make &&make install
6
1. Snort 설치 및 설정 1-5. snort 동작 확인 > snort -v -i eth0
7
2.Snort rule 설정 2-1. rule download 스노트는 세 개의 룰을 제공한다.
그 중 회원가입 후 이용가능한 Registered를 이용한다. snortrules-snapshot-2983.tar.gz를 받는다.
8
2.Snort rule 설정 2-2. snort.conf 설정 :set nu 로 줄 번호를 출력하여 줄 번호로 간다.
45번 줄 ipvar HOME_NET any → ipvar HOME_NET localhost 104번 줄 var RULE_PATH ../rules → var RULE_PATH /etc/snort_rule/rules 105번 줄 var SO_RULE_PATH ../so_rules → var SO_RULE_PATH /etc/snort_rules/so_rules 106번 줄 var PREPROC_RULE_PATH ../preproc_rules → var PREPROC_RULE_PATH /etc/snort_rules/preproc_rules 109번 줄 var WHITE_LIST_PATH ../rules → var WHITE_LIST_PATH /etc/snort_rule/rules 110번 줄 var BLACK_LIST_PATH ../rules → var BLACK_LIST_PATH /etc/snort_rule/rules :WQ > touch /etc/snort_rule/rules/white_list.rules /etc/snort_rule/rules/black_list.rules
9
2.Snort rule 설정 2-2. snort 동작 확인
> snort -T -i eth0 -c /etc/snort_rule/etc/snort.conf 2-3. local rule 추가 > vi /etc/snort_rule/rules/local.rules > vi /etc/snort_rule/etc/sid-msg.map 2-4. rule 동작 확인 snort -i eth0 -c /etc/snort_rule/rules/local.rules 실행 하신뒤 다른 컴퓨터에서 핑을 보내면 /var/log/snort/alert 저장이됩니다.
10
3.Snorby 3-1. Snorby? > Snorby는 루비 스크립트로 작성된 웹 응용 프로그램이다.
> 바이너리 출력 형식으로 이벤트를 기록한다. > Snorby는 침입탐지 시스템인 Snort, Suricata, Sagan을 통합한 프로그램이다. > 개인 및 기업 모두 사용을 위한 무료, 오픈 소스를 제공하여 > 네트워크 모니터링 이용에 높은 경쟁력을 만들 수 있다 [출처]
11
3.Snorby 3-2.Snorby 설치 > http,mysql > ImageMagick
> wkhtmltopdf > Ruby > RVM
12
3.Snorby 3-2.Snorby 설치 > wget -O snorby.zip --no-check-certificate 3-3. Snorby 동작 > rails server thin -e production
13
3.Snorby 3-3. Snorby 동작(계속) > snort -c /etc/snort/snort.conf
14
3.Snorby 3-3. Snorby 동작(계속) > barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.u2
15
3.Snorby 3-3. Snorby 동작(계속) >
16
3.Snorby 3-3. snorby 동작(계속)
17
3.Snorby 3-3.snorby 동작(계속)
Similar presentations