스노트는 대표적인 호스트 기반의 IDS 방식이다. 마틴 로시가 시스코 시스템즈의 임원으로 재직하면서 시스템즈가 스노트의 권리를 소유 중이다.
스노트는 서명 기반 방식으로 동작한다. 따라서 스노트를 구동하기 전에 공격 내용을 반영한 일정한 탐지 규칙을 설정해야 한다. 현존하는 모든 상용 IDS 장비는 스노트에 기반해 구현한 만큼 보안 장비를 운영하는 입장에서라면 스노트의 기본 문법 숙지는 필수적이다.
위와 같이 'apt-get install snort' 명령어를 이용하여 다운로드 받을 수 있다.
스노트 설치에 필요한 부가적인 요소 등도 스노트를 설치할 때 같이 설치했음을 알 수 있다.
테스트 모드로 동작하면서 스노트를 초기화한 뒤 실행을 마치는 모습을 볼 수 있다.
스노트에서 기본적으로 제공하는 기본 탐지 규칙을 공격 유형별로 볼 수 있다.
탐지 규칙은 확장자가 .rules와 같이 끝남을 알 수 있다. 실제 현업에서는 기본 탐지 규칙만을 이용해서는 공격 유형을 탐지하는 데 한계가 있다. 다시 말해 기본 탐지 규칙은 무료로 제공하고 최신 탐지 규칙은 유료로 판매하는 시스코 시스템즈의 영업 전략이라고 할 수 있다.
기본 탐지 규칙 중 attack-responses.rules라는 탐지 규칙의 구성 내역을 확인해보자.
snort.conf 파일에서 기본 탐지 규칙에 대한 주석처리가 필요하다.
출처: 우분투 리눅스 기반의 IDS/IPS 설치와 운영, 오동진, 추다영 지음
'Network Security > 우분투 리눅스 기반의 IDS IPS 설치와 운영' 카테고리의 다른 글
| [침탐] 9장, 스노트 기본 문법 (0) | 2021.05.06 |
|---|---|
| [침탐] 7장, 랜 카드 인터페이스 명칭 변경 (0) | 2021.04.10 |
| [침탐] 6장, IDS와 IPS 이해 (0) | 2021.04.04 |
| [침탐] 5장, 전송 계층 기반의 주요 공격 유형 (0) | 2021.04.04 |
| [침탐] 4장, 전송 계층의 헤더 기능 (0) | 2021.04.04 |
