windows에서 SNORT 설치

OS/Windows

windows에서 SNORT 설치

s0ccer 2017. 1. 26. 11:04

출처

snort.org

base.secureideas.net

adodb.org

ehey0214.tistory.com/51

Snort ?
Snort는 네트워크 상에서 발생한 패킷을 관찰하여 Snort 규칙으로 작성된 패턴(사용자가 작성한 특정 문자열)이 탐지되면

모니터에 보여주는 오픈소스 기반의 패킷 모니터링 및 탐지 툴이라고 생각하시면 됩니다.
이 툴을 기반으로 만든 대표적인 장비는 IDS/IPS, TMS가 있으며 IDS와TMS는 탐지만 IPS는 탐지 및 차단 기능이 있습니다.
IDS/IPS는 탐지 시 횟수 당 최대 84byte의 패킷을 보여주고 TMS는 1524byte의 패킷을 보여줍니다.
TMS가 IDS/IPS보다 패킷의 탐지 범위가 넓죠 그렇지만 가장 큰 단점이 있습니다.

예를 들어 보안 관리자가 웹서버의 공격을 탐지하기 위해 외부IP에서 내부망 IP로 PORT는 80으로 접근하는 snort 패턴을 내부망 IP대역을 지정하지 않을 경우 1번 처럼 외부IP -> 내부IP port 80으로 접근하는 이벤트를 탐지하고 2번 처럼 내부IP에서 외부IP port 80으로 접근하는 이벤트도 탐지합니다. 이처럼 TMS는 외부에서 내부로 들어오는 패킷만 보고 싶은면 패턴마다 내부망 IP 대역을 수동으로 지정해야하는 큰 단점이 있습니다.

SNORT 설치
1. 프로그램 설치 환경
VM이 설치된 XP 또는 Windos7 환경에서 구현

APMSETUP 7, Snort_2_9_2_3_Installer.exe

Snort_2_9_2_3_Installer.exe

, WinPcap 설치

2. DB 설정

cd c:\Snort\schemas // cmd 창에서 입력
mysqladmin -u root -p create snort // snort DB 생성 passwd 는 apmsetup
mysql -D snort -u root -p < create_mysql // table 생성 및 내용 저장
mysql snort -u root -p // 테이블 접근
show tables; // 테이블 확인

exit

3. SNORT 설정

C:\Snort\etc\snort.conf 파일을 아래와 같이 수정한다. (파란 글씨는 수정/추가 빨간 글씨는 삭제 입니다.)

ipvar -> var로 전체 수정

--------------------------------------------------------------------------------------------------------------------------------------------------

# Setup the network addresses you are protecting

var HOME_NET 192.168.X.0/24 // 스노트 설치 PC의 IP대역 C클래스로 설정

--------------------------------------------------------------------------------------------------------------------------------------------------
# Note for Windows users: You are advised to make this an absolute path,

var RULE_PATH C:\Snort\rules // 절대 경로로 변경
var SO_RULE_PATH C:\Snort\so_rules
var PREPROC_RULE_PATH C:\Snort\preproc_rules

--------------------------------------------------------------------------------------------------------------------------------------------------

# Set the absolute path appropriately

var WHITE_LIST_PATH c:\snort\rules

var BLACK_LIST_PATH c:\snort\rules

--------------------------------------------------------------------------------------------------------------------------------------------------

# path to dynamic preprocessor libraries

dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor

# path to base preprocessor engine
dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll

# path to dynamic rules libraries
dynamicdetection directory c:\snort\lib\snort_dynamicrules // c:\snort\lib\snort_dynamicrules 폴더 생성

--------------------------------------------------------------------------------------------------------------------------------------------------
whitelist $WHITE_LIST_PATH/white_list.rules, \ // C:\Snort\rules\white_list.rules 빈파일 생성
blacklist $BLACK_LIST_PATH/black_list.rules // C:\Snort\rules\black_list.rules 빈파일 생성

--------------------------------------------------------------------------------------------------------------------------------------------------

# Inline packet normalization. For more information, see README.normalize
# Does nothing in IDS mode
# preprocessor normalize_ip4
# preprocessor normalize_tcp: ips ecn stream
# preprocessor normalize_icmp4
# preprocessor normalize_ip6
# preprocessor normalize_icmp6

--------------------------------------------------------------------------------------------------------------------------------------------------

# database
output database: alert, mysql, user=root password=apmsetup dbname=snort host=localhost
output database: log, mysql, user=root password=apmsetup dbname=snort host=localhost

--------------------------------------------------------------------------------------------------------------------------------------------------

# site specific rules
include $RULE_PATH/local.rules

include $RULE_PATH/attack-responses.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/blacklist.rules
include $RULE_PATH/botnet-cnc.rules
include $RULE_PATH/chat.rules
include $RULE_PATH/content-replace.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/file-identify.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/info.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/multimedia.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/p2p.rules
include $RULE_PATH/phishing-spam.rules
include $RULE_PATH/policy.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/scada.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/specific-threats.rules
include $RULE_PATH/spyware-put.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/tftp.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/voip.rules
include $RULE_PATH/web-activex.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/x11.rules