[정보보안기사 기출풀이] 14회(2019.09) 2과목 네트워크 보안 - 25번 snort

Snort : 대표적인 공개용 침입탐지 도구, 다양한 OS에서 사용 가능

Snort 로그를 중앙 syslog 서버로 전송하도록 설정하는 시나리오
1. snort 설치 : rpm을 이용하여 Snort에 사용되는 라이브러리 패키지와 Snort 설치
# rpm -ivh snort-2.4.3-******.rpm
2. snort.conf를 수정하여 원격 서버로 로그 전송되도록 설정
# vi /etc/snort/snort.conf
output alert_syslog: LOG_AUTH LOG_ALERT
=> ALERT 로그를 syslog로 전송하도록 설정
3. syslog.conf를 수정
# vi /etc/syslog.conf
auth.alert @192.168.n.n
=> 원격 syslog 서버의 IP 주소 입력
4. syslog 데몬 재시작, snort 백그라운드 실행
# service syslog restart
# snort -D -c /etc/snort/snort.conf
=> -D : 백그라운드 데몬으로 실행, -c : 설정 파일을 연결

Snort의 Rule 추가하는 시나리오
1. rules에 custom.rules 파일 생성
# vi /etc/snort/rules/custom.rules
alert tcp any any -> any 80 ( msg : " malcode download attack-malcode.html"; content : "maldown.html";)
=> msg : 탐지 메시지, content : 탐지 문자열
2. snort.conf에 RULE_PATH 추가
# vi /etc/snort/snort.conf
include $RULE_PATH/custom.rules
3. snort 데몬을 백그라운드로 재시작하여 추가된 룰 적용
# snort -D -c /etc/snort/snort.conf

Snort 룰 작성 방법

 

1. 룰 헤더(Rule Header) : 처리 방법(Action), 프로토콜(Protocol), 송/수신지 주소(IP, Port 주소)

[Action] [Protocol] [송신 IP 주소] [포트 주소] -> [수신 IP 주소] [포트 주소]
예시 - alert tcp any any -> any any
처리방법 : alert, log, pass, activate, dynamic, drop, sdrop reject
프로토콜 : tcp, udp, ip, icmp
주소 : [송신 IP 주소] [포트 주소] -> [수신 IP 주소] [포트 주소]
* 처리방법 설명(룰 액션)
alert : 알람 발생시키고 로그 남김 
log : 로그 남김
pass : 무시
activate : 로그 남기고 대응 dynamic action을 활성화
dynamic : 활성화되면 로그 남김
drop : iptables에 의해 패킷 차단 후 로그 남김
sdrop : iptables에 의해 패킷 차단, 로그 남기지 않음 
reject : iptables에 의해 패킷 차단 후 로그 남기고 메시지(TCP reset, ICMP unreachable)를 발생

 

2. 룰 옵션(Rule Option) : 
예시 - Rule Hearder 뒤에 ( msg : "MESSAGE"; content : "abc.html"; nocase)
옵션 종류
msg : alert, log 시 출력될 메시지
content : 패킷의 페이로드 내부를 검색하는 문자열
offset : 검색할 문자열의 offset
nocase : 대소문자 구별하지 않음
rev : 룰 수정 횟수
sid : 룰 식별자(snort에서 사용하는 식별 번호는 100~100만 사이)
threshold type <limit | threshold | both>, track <by_src | by_dst>, count <s>, seconds <m>