본문 바로가기
반응형

28

Snort 시스템 보호 내용 설명 불필요한 서비스 제거 Telnet, Berkeley R, FTP, NFS, NIS와 같은 서비스를 중지하고 불필요한 서비스를 실행하고 있지 않은지 확인한다. 시스템 무결성 유지 TripWire 또는 AIDE,Samheim 등을 사용하여 시스템 무결성을 유지한다. 사용하는 서비스를 방화벽 또는 TCP Wrapper로 보호 SSH, Mysql 등의 서비스는 나름대로의 취약점이 존재하기 때문에 방화벽(IPTables 등) 또는 TCP Wrapper로 보호하고 TCP Wrapper로 보호가 불가능한 Apache 같은 서비스는 보안을 최대한 고려한 설정을 한다. 데이터를 암호화하고 공개키 인증을 사용 공개키 인증을 OpenSSH에서만 활성화하는 것이 아닌 Apache 등의 서비스에서도 Apache-SS.. 2010. 11. 30.
유용한 Snort 추가 프로그램 프로그램 URL 설명 SnortSnarf www.silicondefense.com/software/snortsnarf Silicon Defense에서 만든 Snort 분석기, 출력이 HTML이다. Snortplot.php www.snort.org/dl/contrib/data_analysis/snortplot.pl 공격을 그래픽으로 표시해 주는 Perl 스크립트 Swatch swatch.sourceforge.net 실시간 syslog 모니터로서 e메일을 통해 실시간 경고를 전송한다. ACID acidlab.sourceforge.net The Analysis Console for Intrusion Databases의 약자다. Snort의 로그를 분석한다. 이 프로그램이 동작하려면 PHP, Apache, Sn.. 2010. 11. 30.
Snort 구성 요소 구성 요소 설명 패킷 캡처/디코드 엔진 먼저, Snort는 libpcap 라이브러리를 통해 네트워크 트래픽을 캡처하고 디코드 엔진은 패킷을 분석하여 링크-계층 프로토콜용 패킷 구조를 채운다음 TCP와 UDP 포트와 같은 상위-계층 프로토콜용 패킷 구조를 채운다. 전처리 플러그인 디코드 엔진을 거친 다음 패킷은 전처리기로 전송되는데 전처리기는 패킷이 탐지엔진에 도착하기 전에 패킷을 검사하고 조작한다. 각 전처리기는 패킷의 내용을 검사하고, 경고를 보내고, 수정하는 등 작업을 수행한다. 탐지 엔진 전처리기 플러그인을 거친 다음 패킷은 탐지 엔진으로 전송된다. 탐지 엔진은 각 패킷을 간단한 검사를 통해 규칙파일의 항목과 비교한다. 탐지 플러그인은 패킷에 대한 추가 탐지 기능을 제공한다. 규칙에 들어 있는 각 .. 2010. 11. 30.
Snort 빌드 configure 옵션 옵션 설명 --enable-debug 디버깅 옵션을 활성화한다. (개발자 전용) --with-snmp SNMP 경고 코드를 활성화한다. --enable-smbalerts SMB 경고 코드를 활성화한다. 이 기능은 내부에서 popen() 콜을 실행하기 때문에 보안에 취약하다. 따라서 주의해서 사용해야한다. --enable-flexresp "Flexible Response"(세션 스나이핑) 코드를 활성화한다. 이 기능을 사용하면 특정 규칙에 일치하는 악성 연결을 IP 레벨에서 끊을 수 있다. 이 기능은 libnet-liblary가 필요하다. --with-mysql=DIR MySql을 지원한다. ACID에서 MySQL을 사용하려면 이 옵션을 켜야 한다. --with-odbc=DIR ODBC을 지원한다. ACI.. 2010. 11. 30.
반응형

티스토리툴바