Snort를 알고 있는지 모르겠지만 회사에서 필요하여 문서로 정리해본다.
우분트에서 snort를 이용하여 간단한 IDS를 구성해보았다.
OS : 우분트 8.04
DB : My SQL
만약 WINDOWS 에 익숙한 사용자라면 다음 메뉴얼을 참고 하기 바랍니다.
[#M_OS를 처음 설치 하고 바로 작업 하신다면|OS를 처음 설치 하고 바로 작업 하신다면|apt-get update
apt-get install vim make
_M#]
snort 설치 전 필요한것들 UPDATE
apache, php, mysql(snort 로그를 DB로 쌓기 위해) 등…
apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev
[#M_My-SQL 세팅|My-SQL 세팅|계정 생성 및 원격 접속 가능하게 하는 방법
원격지에서 DB 접속 가능하게 수정
/etc/mysql/my.cnf 수정
bind-address = 127.0.0.1
주석 처리
#bind-address = 127.0.0.1_M#]
snort 소스 다운로드
cd /usr/src/
wget http://www.snort.org/dl/current/snort-2.8.2.2.tar.gz
snort rule 다운로드
wget http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
snort 설치
tar -zxvf snort-2.8.2.2.tar.gz
cd snort-2.8.2.2
tar -zxvf ../snortrules-pr-2.4.tar.gz
./configure -enable-dynamicplugin –with-mysql
make
make install
mkdir /etc/snort /etc/snort/rules /etc/snort/doc /var/log/snort
cd etc/
cp -a * /etc/snort/
cd ../rules/
cp -a * /etc/snort/rules/
cd ../doc/
cp -a * /etc/snort/doc/
snort 설정
vi snort.conf
변경 “var HOME_NET any” => “var HOME_NET 192.168.1.0/24” (your home network may differ from 192.168.1.0)
변경 “var EXTERNAL_NET any” => “var EXTERNAL_NET !$HOME_NET” (this is stating everything except HOME_NET is external)
변경 “var RULE_PATE ../rules” => “var RULE_PATH /etc/snort/rules”
snort 로그 DB로 쌓기 설정
#output database: log, mysql, user=root password=test dbname=snort host=localhost
위줄의 주석을 제거 한후
mysql DB에 접근권한에 맞게 수정
user=root
password=test
dbname=snort ( 추후 snort DataBase를 생성)
host=localhost
chmod 600 snort.conf
snort DB 설정
mysql -u root -p
mysqladmin -u root -p create snort
mysql -D snort -u root -p < /usr/src/snort-2.8.2.2/schemas/create_mysql
snort 설치 점검
snort -c /etc/snort/snort.conf
Error 문구 없으면 정상 설치 완료
Ctrl + C 로 빠저나옴
선택사항 #1
snort 웹페이지에서 보는 법 ( Basic Analysis and Security Engine (BASE) )
Basic Analysis and Security Engine 설치
cd /usr/src/
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz
cd /var/www/
tar zxvf /usr/src/base-1.3.9.tar.gz
chmod 757 base-1.3.9
pear install Image_Color
pear install Image_Canvas-alpha
pear install Image_Graph-alpha
/etc/init.d/apache2 restart
Basic Analysis and Security Engine 웹 세팅
http://YOUR.IP.ADDRESS/base-1.3.9/setup로 접속
continue로 진행
Step 1 of 5: Enter the path to ADODB. ‘/usr/share/php/adodb’
Step 2 of 5: Database type = MySQL, Database name = snort, Database Host = localhost or Server IP, Database username = snort, Database Password = test(실제 세팅된 패스워드)
Step 3 of 5: 웹페이지 접속시 계정 패스워드로 페이지 접근 제한을 하고 싶다면 체크 박스 체크 하고 ID,PASS 입력
Step 4 of 5: Create BASE AG. 클릭
Step 5 of 5: 아래 continue to step 5 클릭
로그인 메인 페이지 (북마크 필수!)
chmod 755 base-1.3.9/
선택사항 #2
컴퓨터에 이미 .NET Framework 가 깔려있다면 아무 문제가 없으나 깔려있지 않다면
마이크로소프트 사이트에서 .NET Framework 1.1 재배포 가능 버전을 다운받아 설치하고,
필히 윈도우 업데이트를 수행하여 .NET Framework 1.1 서비스팩(SP 1)을 설치한다.
HSC가 내부적으로 .NET Framework에 의존하기 때문이다.
이제 activeworx 사 홈페이지에서 Honeynet Security Console을 다운받아 설치하자.
다운로드 http://download.activeworx.org/hsc.v2.6.0.4.msi
설치 메뉴얼
hsc.v104.sql 업로드하기
rz ( 실행이 안될시 apt-get install lrzsz )
HSC에서 사용할 DB 생성
mysqladmin -u root -p create aw_hsc
mysql -D aw_hsc -u root -p < hsc.v104.sql
snort 실행하여 IDS 탐지 하기
snort -c /etc/snort/snort.conf -i eth0 -D
옵션 설명: -c : snort 환경설정파일
-i : 탐지할 sensor interface
-D : 데몬(백그라운드) 모드로 구동