Download presentation
Presentation is loading. Please wait.
1
snort and suricata 발표자 : 이경문
2
snort 개요 sourcefire사에서 만든 NDIS 실시간 traffic 분석&packet logging용으로 적합
수많은 개발자들에 의한 rule 제공 물론 상용 rule는 구하기 어려움(돈주고 사야 함) 다양한 OS를 지원 open source(GPL license) 국내 많은 업체에서 snort를 (몰래) 사용
3
snort를 사용해야 하는 이유 새로 만든다 하더라도 snort 만큼 performance를 낼 수 있는 software는 만들기 어려움(시간이 많이 걸림) snort에 적용된 수많은 최적화 algorithm을 배워서 구현한다는 것은 현실적으로 적합하지 않음
4
aho-corasick algorithmn
일반적으로 multi-string 검색에 적합 snort의 fast_pattern에 사용됨
5
boyer-moore algorithm
일반적으로 single string 검색에 적합 snort rule의 content에서 사용됨
6
suricata 개요 multi-core, multi-threading 지원 기존 snort rule과 완벽 호환
gpu 하드웨어 가속 지원 lua와 같은 script language와 interface 가능
7
snort vs suricata
8
suricata install platform마다 compile&install 이 각기 다름 한번 익혀 두는 것이 좋음
9
suricata install(Pre-installation requirements)
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 libmagic-dev
10
suricata install(HTP)
wget tar -xzvf libhtp tar.gz cd libhtp-0.2.3 ./configure make make install
11
suricata install(IPS)
sudo apt-get -y install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0
12
suricata install(suricata)
wget tar -xvzf suricata tar.gz cd suricata-1.4.4
13
suricata install(Compile and install the engine)
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var
14
suricata install(Auto setup)
./configure make make install-conf make install-rules make install-full
15
suricata test(설치 확인) “suricata” 명령어가 실행이 되는지 확인한다
16
suricata test(파일 수정) /usr/local/etc/suricata/suricata.yaml 파일을 수정한다.
rule-files:을 찾아서 전부 주석(#)처리를 하고 " - test.rules " 내용을 추가한다. /usr/local/etc/suricata/rules/test.rules 파일에 다음과 같은 내용으로 저장한다. alert tcp any any -> any 80 (msg:"test rule"; content:"GET /"; content:"Host: sid:10001; rev:1;) alert tcp any any -> any 80 (msg:"test rule"; content:"GET /"; content:"Host: sid:10002; rev:1;)
17
suricata test(fast.log 확인)
/usr/local/var/log/suricata/fast.log 파일을 확인한다
18
suricata test(log source 변경)
src/alert-fastlog.c 파일의 AlertFastLogIPv4 함수 하단의 fprintf 문에 테스트 코드를 추가하여 컴파일한다 수정된 컴파일 모듈이 제대로 실행이 되는지 확인한다
19
감사합니다 발표자 : 이경문 홈페이지 : http://www.gilgil.net
이메일 : gilgil1973 at gmail.com 휴대폰 : 팔구공팔
Similar presentations