스노트를 장착한 주분투 운영체제에 에제와 같이 TCP 덤프라는 도구를 설치한다. TCP 덤프는 커맨드 라인에서 사용할 수 있는 와이어샤크와 같은 도구이다.
ICMP 요청을 보낸다.
tcpdump -e icmp[icmptype] == 0 -v 명령어를 입력하면 주분투 운영 체제에서 백박스 운영체제로 ICMP 응답을 보내는 패킷만 출력해볼 수 있다.
그런데 TCP 덤프가 아닌 스노트를 이용하면 상대방으로부터 ICMP 요청이 들어오는 상황을 보다 정교하게 탐지할 수 있다. 이것은 마치 바이러스 백신에서 악성 코드가 들어오면 서명 방식에 기반해 탐지하는 이치와 같다.
/etc/snort/rules 위치에 local.rules라는 탐지 규칙을 생성한다.
먼저 alert 부분은 스노트의 동작을 명시한 부분이다. 스노트를 IDS 용도로 사용하는 경우라면 alert 설정은 고정적이라고 할 수 있다. 단순히 탐지한 내용을 이벤트를 통해 출력하겠다는 의미다. 스노트의 동작 유형에는 alert 기능 이외에도 log, pass, activate, dynami, drop,reject, sdrop 등이 있다. 이중 alert 기능 대신 drop 기능이나 reject 기능을 설정하면 IPS 용도로 사용할 수 있다.
다음으로 ICMP 부분은 탐지할 프로토콜의 종류를 명시한 설정이다. 네트워크 계층에 속하는 IP 헤더와 ICMP 헤더 그리고 전송 계층에 속하는 UDP 헤더와 TCP 헤더의 속성을 탐지할 수 있다.
다음으로 any any -> any any 부분은 내부에서 외부로 들어오는 패킷을 대상으로 탐지하겠다는 의미다. 이때 -> 표시를 기준으로 좌측은 출발지 IP주소와 출발지 포트 번호를 의미하며 우측은 목적지 IP 주소와 목적지 포트 번호를 의미한다.
출처: 우분투 리눅스 기반의 IDS/IPS 설치와 운영, 오동진, 추다영 지음
'Network Security > 우분투 리눅스 기반의 IDS IPS 설치와 운영' 카테고리의 다른 글
| [침탐] 8장, 스노트 설치와 설정 (0) | 2021.05.06 |
|---|---|
| [침탐] 7장, 랜 카드 인터페이스 명칭 변경 (0) | 2021.04.10 |
| [침탐] 6장, IDS와 IPS 이해 (0) | 2021.04.04 |
| [침탐] 5장, 전송 계층 기반의 주요 공격 유형 (0) | 2021.04.04 |
| [침탐] 4장, 전송 계층의 헤더 기능 (0) | 2021.04.04 |
