내 컴퓨에 IDS(침입탐지시스템)를 구축해 보자! – snort편(1)

▶ 소개

 

본격적인 설치에 앞서 이해를 돕기 위해 snort에 대해 간단히 설명 드리도록 하겠습니다.

Snort는 “sniffer and more”라는 말에서 유래되었으며, 어원에서도 그 뜻을 엿볼 수 있듯이 실시간 트래픽 분석과 IP 네트워크 상에서 패킷 로깅이 가능한 경량 네트워크 침입 탐지 시스템입니다. Snort가 처음 공개 되었을 때는 코드도 얼마 되지 않는 단순한 패킷 스니퍼 프로그램이었으나, 이 후 rule을 이용한 분석 기능이 추가되고 커뮤니티를 통하여 계속적인 기능 보완과 향상으로 지금의 다양하고 강력한 기능을 가진 프로그램이 되었다고 하는군요!

 

▶ 기능

패킷 스니퍼 (Packet sniffer)	네트워크의 패킷을 수집하여 보여주는 기능
패킷 로거 (Packet logger)	수집한 한 패킷을 저장하고 로그에 남기는 기능
Network IDS	네트워크 트래픽을 분석하여 공격을 탐지하는 기능

 

Snort는 lipcap을 사용하여 패킷을 캡쳐하고, 수집된 패킷을 사전에 정의된 snort 공격 룰(rule)과 비교하여 매칭될 경우 log를 남기는 형태로 동작합니다.

 

▶ 구조

스니퍼(sniffer)	Snort 를 통과하는 모든 패킷을 수집
Preprocessor	효율적인 공격 탐지를 위해 제공되는 플러그인
탐지엔진	룰(rule) 기반으로 정의된 탐지 룰과 매칭 여부를 확인
로깅 (출력)	정의된 탐지 룰과 매칭된 트래픽이 감지 될 경우 로그를 남김

 

▶ 설치

 

본 글에서는 Snort + MySQL + HSC(Honeynet Security Console)를 연동하여 IDS를 구축할 것이며 설치에 사용될 파일들은 다음과 같습니다.

 

① WinPcap_4_1_1.exe

② Microsoft .NET Framework 1.1

③ hsc.v2.6.0.4.msi

④ Snort_2_8_5_3_Installer.exe

⑤ snortrules-snapshot-CURRENT [1].tar

 

 

 

[그림1-1] 설치 파일들

 

(1) Snort 설치

Snort 설치 파일과 룰(rule)은 공식 홈페이지에서 최신 버전으로 다운로드 받을 수 있으며 본 글에서는 “Snort_2_8_5_3_Installer.exe” 와 “snortrules-snapshot-CURRENT [1]. tar” 를 사용하였습니다.

 
다운로드 받은 파일을 실행시켜 설치를 시작합니다~! ^^

 

[그림2-1] GPL License 동의

 

DataBase 연동과 관련된 선택 사항으로 기본 설정된 값으로 진행합니다.

 

 

[그림 2-2] Installation Options 

 설치할 Component를 선택하는 페이지로 기본값을 선택합니다.

 

 

 

 

 

[그림2-3] Choose Components

Snort가 설치될 경로를 선택할 수 있으며 자신이 원하는 경로를 선택해줘도 무방하나, snort 설정에서 해당 경로를 참조하므로 가능한 한 간단한 경로를 추천해드립니다. 본 글에서는 기본값으로 진행하겠습니다.

 

 

 [그림2-4] 설치 경로

설치가 완료되면 Close를 클릭합니다.

 

 

[그림2-5] 설치 완료

 

Close 버튼을 클릭하면 아래와 같은 페이지가 뜨는데, 내용을 대충 살펴보면 “Winpcpap을 설치해야 하며 snort.conf 파일을 수정해줘야 한다” 는 내용으로, 확인을 클릭하시면Snort 설치는 완료됩니다.

 

 

[그림2-6] 안내 페이지

 

(2) WinPcap 설치

 

Snort 를 설치하였으니 이제 WinPcap을 설치해야겠죠? Snort 설치 전 WinPcap을 설치해 두는 것도 좋은 방법이나, 본 글에서는 글의 흐름상 이와 같이 진행하고 있음을 알려드립니다. ^^

WinPcap은 범용 패킷 캡쳐 라이브러리인 libpcap의 Windows 버전으로 snort의 패킷 캡쳐를 위해 반드시 필요합니다.

공식 사이트에서 최신 버전의 WinPcap을 다운로드 받을 수 있으며, 본 글에서는 WinPcap 4.1.1 버전을 이용하겠습니다.

 

 

 

 

[그림3-1] WinPcap 설치

 

Next로 진행해주세요~

 

 

 

[그림3-2] WinPcap 설치

 

 License에 동의하셔야 이용 가능하겠죠 ^^?

 

 

 

 

[그림3-3] License 동의

 

부팅 시 WinPcap드라이버가 자동적으로 동작하도록 아래와 같이 설정합니다.

 

 

 

 

[그림3-4] WinPcap 자동 실행 설정
 

WinPcap이 간단하게 설치 완료되었습니다!

 

 

 

[그림3-5] 설치 완료

 

▶ 마치며……

snort의 간단한 소개와 설치 WinPcap의 설치까지 알아보았는데요. 갈 길이 아직 많이 남았기에 이상으로 오늘의 글을 마치도록 하겠습니다. 다음 글에서는 MySQL 설치 및 연동과 관련된 내용으로 이어갈 예정입니다!