호스팅 TIP > 네트워크 > SNORT 추가설명

호스팅 TIP

보안

시스템

프로그래밍

네트워크

월간 인기 게시물

	게시물 160건

SNORT 추가설명

글쓴이 : 최고관리자 날짜 : 2010-06-22 (화) 10:45 조회 : 11407

글주소 :

출처 : http://blog.naver.com/white00one/40088337728

Snort의 발전
- 1998년 12월 Packet Strom 등록- 패킷 스니핑
- 1999년 1월 Rule 기반 분석 기능 추가(침입탐지기능)
- 1999년 12월 각종 Plug-in 추가(버전1.5)
- Snort 2.0 이후
  - 향상된 네트워크 플로우 기능
  - 데이터베이스 Plug-in 추가
  - 전처리 Plug-in 추가
- 최신 Rule은 최신 Snort 버전에서만 적용 가능
현재 Snort는 크게 패킷 스니퍼, 패킷 로거,NIDS등의 기능으로 나누어짐
Snort의 기본 구조
- 스니퍼(Sniper)
- 전처리기(Preprocessor)
- 탐색엔진
- 로깅 / 경고

패킷 스니퍼(Sniper)
- 이더넷 인터페이스를 Promiscuous 모드로 동작
  - NIDS는 자신의 네트워크를 모든 패킷을 모니터링
- 다양한 네트워크 트래픽(TCP,UDP,ICMP)을 사람이 보기 쉬운 형태로 변환
- Snort 는 기본적인 스니핑 기능에 더하여 패킷을 로그 등으로 저장하여 확일할수 있다.
- 용도
  - 네트워크 분석 및 문제 해결
  - 네트워크 성능 분석
  - 네트워크 상의 다양한 데이터 확인(도청)
Preprocessor(전처리기)
- 스니퍼로 캡쳐한 모든 패킷들은 각종(Plug-in)으로 검사하여 패킷에서 특정한 행위가 검색 될 경우 탐지 엔진으로 전송
- 전처리기에서 필요한 Plug-in 을 활성화 하거나 비활성화 시켜서 각 트래픽 종류에 따라 검사의 유무를 결정
- 프로토콜 규칙을 따르지 않는 패킷을 탐지하기 위한 기능(비정상검사)
탐지엔진
- 규칙(Rule)기반의 패턴 검색을 하며, 규칙은 Signature로부터 발전함
- 규칙 기반은 특정한 부분의 일치/불일치를 검사 -> 빠른속도
- 전처리기(Plug-in)에서 오는 데이터와 규칙을 비교
- 패킷과 규칙이 일치할 경우 경고/알람 부분으로 전달
- 규칙은 정기적으로 업데이트 되며 최신 Snort 에서 적용 가능
- 규칙은 트로이 목마, 버퍼 오버플로우 등 종류별로 묶임
- 규칙 구성
  - Rule Header(규칙 헤더) : 규칙과 일치할 경우 로그를 남길것인지 경고를 보낼것인지를 설정하며, 패킷의 종류, IP 주소, Port 등으로 이루어져 있다.
  - Rule Option(규칙 옵션) : 규칙 헤더와 함께 복잡한 패킷을 분석할 경우 여러 옵션 및 옵션 값들로 강력한 기능을 제공한다.
- Snort 의 규칙 문법이 있으며, 이것은 프로토콜의 종류, 콘텐트, 길이, 헤더 등을 포함
- 규칙의 작성이 가증하다면 Snort를 자신의 네트워크 환경에 맞게 커스터마이징할수 있음
  (커스터마이즈 : 이용자가 사용 방법과 기호에 맞추어서 하드웨어나 소프트웨어를 설정하거나 기능을 변경하는 것)
- Rule의 개요
  - Snort는 Rule 기반의 패턴 검색 비교 방법 사용
    - 지속적인 업데이트를 통한 Rule 의 최신화
  - Plug-in 방식의 비교적 가벼운 IDS
    - 사용자의 네트워크 환경에 최적화 가능
  - Preprocessor 에서 전송되는 패킷을 받아서 검사
  - 전송받은 패킷을 Rule과 비교해여 로그나 경고를 발생시킨다
  - Plug-in 형태의 Rule들을 적용하기 위한 방법으로 Snort 실행시 옵션을 주어 설정값을 변경하는 방법과 Snort.conf파일을 직접 수정하여 적용하는 방법이 가능함
  - Rule은 크게 Rule Heaer와 Rule Option으로 구성 됨
  - Rule Header는 Rule Action, Protocol,출발지 정보, 목적지 정보로 이루어짐
  - Rule Option 은 필수적인 항목은 아니나 패킷을 좀더 세밀하게 검사하기 위해서는 필수적인 부분
  - Rule 은 구성이 일반적인 프로그래밍 언어보다 쉬운 편이므로 사용자가 자신만의 Rule을 만들어사용할할수 있음

로깅/경고
- 기본구성은 전처리기는 탐지 엔진과 마찬가지로Plug-in 형태이며 이것을 이용하여 DB, 네트워크 프로토콜, Winpopup 메시지등으로 전달
- 로그는 텍스트 파일의 형태 또는 Database에 저장
  
  (로그 기본 경로 : /var/log/snort)
- 경고는 로그파일, 네트워크, UINX 소켓, 윈도우팝업(SMB),SNMP트랩등으로 전달

Snort 용 추가 프로그램
- SnortSnarf : Silicon Defense 에서 제작된 HTML 형식의 Snort분석기
- Swatch : 실시간 syslog 모니터로서 e-mail을 통해 실시간으로 경고를 전송
- ACID : PHP, APCHE, Snort DB Plug-in 이 필요하며, 보안을 위해 암호화를 권장
- Loghog : 로그분석기이며 정해진 e-mail로 경고를 전송한다, lptable 규칙을 설정하여 트래픽을 차단한다.
- SneakyMan : GNOME 기반의 Snort 규칙 생성기
- Razorback : GNOME/X11 기반의 실시간 로그 분석 프로그램
- Oinkmaster : Snort의 Rule 을 최신 버전으로 유지시켜 준다.

여행스케치

웹소식

자유게시판

인기검색어

	ceph
	and	5
	sq	9
	DDOS	1
	host	1
	http	4
	mon	2
	resource
	for	3
	--	1