▶ 소개
본격적인 설치에 앞서 이해를 돕기 위해 snort에 대해 간단히 설명 드리도록 하겠습니다.
Snort는 “sniffer and more”라는 말에서 유래되었으며, 어원에서도 그 뜻을 엿볼 수 있듯이 실시간 트래픽 분석과 IP 네트워크 상에서 패킷 로깅이 가능한 경량 네트워크 침입 탐지 시스템입니다. Snort가 처음 공개 되었을 때는 코드도 얼마 되지 않는 단순한 패킷 스니퍼 프로그램이었으나, 이 후 rule을 이용한 분석 기능이 추가되고 커뮤니티를 통하여 계속적인 기능 보완과 향상으로 지금의 다양하고 강력한 기능을 가진 프로그램이 되었다고 하는군요!
▶ 기능
패킷 스니퍼 (Packet sniffer) |
네트워크의 패킷을 수집하여 보여주는 기능 |
패킷 로거 (Packet logger) |
수집한 한 패킷을 저장하고 로그에 남기는 기능 |
Network IDS |
네트워크 트래픽을 분석하여 공격을 탐지하는 기능 |
Snort는 lipcap을 사용하여 패킷을 캡쳐하고, 수집된 패킷을 사전에 정의된 snort 공격 룰(rule)과 비교하여 매칭될 경우 log를 남기는 형태로 동작합니다.
▶ 구조
스니퍼(sniffer) |
Snort 를 통과하는 모든 패킷을 수집 |
Preprocessor |
효율적인 공격 탐지를 위해 제공되는 플러그인 |
탐지엔진 |
룰(rule) 기반으로 정의된 탐지 룰과 매칭 여부를 확인 |
로깅 (출력) |
정의된 탐지 룰과 매칭된 트래픽이 감지 될 경우 로그를 남김 |
▶ 설치
본 글에서는 Snort + MySQL + HSC(Honeynet Security Console)를 연동하여 IDS를 구축할 것이며 설치에 사용될 파일들은 다음과 같습니다.
① WinPcap_4_1_1.exe
② Microsoft .NET Framework 1.1
③ hsc.v2.6.0.4.msi
④ Snort_2_8_5_3_Installer.exe
⑤ snortrules-snapshot-CURRENT [1].tar
[그림1-1] 설치 파일들
(1) Snort 설치
Snort 설치 파일과 룰(rule)은 공식 홈페이지에서 최신 버전으로 다운로드 받을 수 있으며 본 글에서는 “Snort_2_8_5_3_Installer.exe” 와 “snortrules-snapshot-CURRENT [1]. tar” 를 사용하였습니다.
다운로드 받은 파일을 실행시켜 설치를 시작합니다~! ^^
[그림2-1] GPL License 동의
DataBase 연동과 관련된 선택 사항으로 기본 설정된 값으로 진행합니다.
[그림 2-2] Installation Options
설치할 Component를 선택하는 페이지로 기본값을 선택합니다.
[그림2-3] Choose Components
Snort가 설치될 경로를 선택할 수 있으며 자신이 원하는 경로를 선택해줘도 무방하나, snort 설정에서 해당 경로를 참조하므로 가능한 한 간단한 경로를 추천해드립니다. 본 글에서는 기본값으로 진행하겠습니다.
[그림2-4] 설치 경로
설치가 완료되면 Close를 클릭합니다.
[그림2-5] 설치 완료
Close 버튼을 클릭하면 아래와 같은 페이지가 뜨는데, 내용을 대충 살펴보면 “Winpcpap을 설치해야 하며 snort.conf 파일을 수정해줘야 한다” 는 내용으로, 확인을 클릭하시면Snort 설치는 완료됩니다.
[그림2-6] 안내 페이지
(2) WinPcap 설치
Snort 를 설치하였으니 이제 WinPcap을 설치해야겠죠? Snort 설치 전 WinPcap을 설치해 두는 것도 좋은 방법이나, 본 글에서는 글의 흐름상 이와 같이 진행하고 있음을 알려드립니다. ^^
WinPcap은 범용 패킷 캡쳐 라이브러리인 libpcap의 Windows 버전으로 snort의 패킷 캡쳐를 위해 반드시 필요합니다.
공식 사이트에서 최신 버전의 WinPcap을 다운로드 받을 수 있으며, 본 글에서는 WinPcap 4.1.1 버전을 이용하겠습니다.
[그림3-1] WinPcap 설치
Next로 진행해주세요~
[그림3-2] WinPcap 설치
License에 동의하셔야 이용 가능하겠죠 ^^?
[그림3-3] License 동의
부팅 시 WinPcap드라이버가 자동적으로 동작하도록 아래와 같이 설정합니다.
[그림3-4] WinPcap 자동 실행 설정
WinPcap이 간단하게 설치 완료되었습니다!
[그림3-5] 설치 완료
▶ 마치며……
snort의 간단한 소개와 설치 WinPcap의 설치까지 알아보았는데요. 갈 길이 아직 많이 남았기에 이상으로 오늘의 글을 마치도록 하겠습니다. 다음 글에서는 MySQL 설치 및 연동과 관련된 내용으로 이어갈 예정입니다!