구축환경
CentOS 7.6 Minimal - (www.centos.org)
VirtualBox 7.0 - (www.virtualbox.org)
[Snort Rule 작성 규칙]
alert: 실시간 경고메시지
log; 기록
pass: 정책에 해당되는 패킷이라도 통과
activate: 패킷 활성화. 탐지된 룰에 정책이 해당되어도 활성화
dynamic: 동적으로 진행. dynamic rules에 있는 기본값을 따라서 하라는 뜻
3. 출발지주소 (네트워크 및 단일ip로 설정가능)
4. 포트 (네트워크 및 단일ip로 설정가능)
6,7번 목적지
[Snort rule 작성]
윈도우에서 HOME_NET으로 설정된 머신에 SSH 원격접속을 했을 때 알림이 오도록 설정했다.
윈도우에서 Putty로 해당 머신에 SSH 접속을 시도하니 바로 알림이 뜬다.
99번에서 66번으로 ICMP alert를 설정했다.
99번에서 66번으로 ping을 보내는 패킷에 따라 snort 머신에서도 똑같이 패킷이 올라가는 것을 볼 수 있다.
의미
출발지가 어떤포트이든 목적지 80포트에 들어오는 tcp에 대해서는 경고를 보이도록하고
이런 트래픽이 탐지 됐을 때 메시지 web attack을 출력하고 이 패킷안에 들어오는 트래픽내용에 /etc/passwd라는 문자열이 들어있는지 검사해라. 검사 시 대소문자는 구분하지 않는다.
옵션과 옵션 사이에는 세미콜론 넣어주기 ;
content:"/etc/passwd";
nocase: 대소문자는 가리지않는다.
sid: 이 트래픽에 대한 특별한 signature ID
윈도우(66번)에서 웹서버(88번)으로 접속을 시도하며 /etc/passwd라는 문구를 입력하자, snort에서 바로 Web Attack이라는 메시지를 출력해주는 것을 볼 수 있다.
간단하게 세 가지 정도의 탐지 룰을 작성해봤다.
탐지 룰을 작성하는 것은 매우 다양하고 또 환경, 상황에 따라 천차만별일 것이다.
또한 보안에 있어서 가장 중요한 부분들 중 하나를 차지하기에 다양한 룰들을 접해보며 익숙해져야하며 공부해야겠다.
'정보보안실무 > 서버, 클라우드' 카테고리의 다른 글
| S-Part. 19 칼리 리눅스(CentOS 7) 한글패치 - [인스테도뷰] (0) | 2023.03.22 |
|---|---|
| S-Part. 18 칼리 리눅스(CentOS 7) 설정 및 구축 - [인스테도뷰] (0) | 2023.03.22 |
| S-Part. 16 IDS 구축, Snort Rule 작성 - [인스테도뷰] (0) | 2023.03.20 |
| S-Part. 15 Linux CentOS 7 root 패스워드 분실 대처 - [인스테도뷰] (2) | 2023.03.20 |
| S-Part. 14 utmp, wtmp, btmp와 각종 명령어들 - [인스테도뷰] (0) | 2023.03.20 |