42일차 IDS 규칙

IDS 실습 LAB Topology

Securityonion 

리눅스 기반으로 배포된 파일 사용

IDS 탐지 엔진: 스노트

VMware Workstation - File - New virtual Machine - Custom - next - Linux , Version : Ubuntu 64-bit

Virtual machine name : IDS

Location: 이미지가 있는 곳

메모리는 최소 1024MB, 권장사항 2048MB 

본인은 2048MB로 함.

네트워크 타입은 Use host-only networking으로 선택한 후 추후에 편집

그 후 Next, Finish

후 Add 클릭

iso 파일 넣어준다.

후 부팅한다.

가만히 놔두면 live cd로 부팅이 된 상태가 된다.

eth0인지 확인

wire connection 2 역시 eth1 인지 확인하고

아래와 같이 입력후 save

IP와 인터페이스 확인.

ping www.google.co.kr 로 연결 상태 확인

바탕화면에 있는 Install 클릭

Seoul - 키보드 배치 그대로 

재부팅

화면이 멈추면 엔터

후 로그인

우클릭 - 복사

파일 시스템 - tmp - 붙여넣기

루트 권한 얻고, 압축풀기

후 메시지 뜨는 것 마다 엔터를 눌러준다.

설치 끝나면 reboot 명령어로 재부팅.

이제 스위치 모니터링 포트를 설정해보자.

f1/1, f1/2,  f1/3, f1/15 에 지나다니는 패킷을 f1/5 쪽으로 들어가게 할 것이다.

both 나가고 들어오는 패킷 둘다를 의미

목적지는 fa1/5

위는 관리적인 모니터링 설정이다.

관리자 권한으로 wireshark 실행해주고 

eth1 네트워크를 잡는다.

xp에서 8.8.8.8로 핑을 해봤더니, IDS를 통해서 가는게 보인다.

Setup 아이콘 실행 후 

패스워드 입력

Yes, Continue! 클릭 

No, not right now. 클릭 

Quick Setup 클릭 된채로 OK

eth1 선택한 후 OK

위는 계정 만드는 상태. 숫자만 알파벳만 사용 가능

이메일은 임의로 admin@cert.com 으로 설정.

패스워드도 마찬가지로 숫자와 알파벳만 가능하고, 6글자 이상이어야 한다.

ELSA - YES

SETUP - YES

하면 설치가 마저 진행된다.

snort 규칙은 위와 같다.

규칙을 추가해보자.

vim /etc/nsm/rules/local.rules

msg는 로그로 남는다

sid는 10만번까지는 사용이 불가능하다. 

저장후 sensor 재시작.

바탕화면 sguil 실행 후 로그인

후에 xp에서 8.8.8.8로 핑을 해보면.

이렇게 뜬다.

하단에 있는 Show Packet Data와 Show Rule에 체크하면 더 상세한 패킷이 표시가 된다.

 

Alert icmp 10.10.0.0/255.255.255.0 any -> any any (itype:5;msg:"ICMP Red found!!!";sid:100002;)

icmp 5번 타입의 redirect 메시지 관련 규칙

Alert tcp any any -> 10.10.0.3/255.255.255.255 any (flags:F;msg:"FIN packet detected";sid:100003;)

fin 플래그 스캐닝 관련 규칙

Alert tcp any any -> 10.10.0.3/255.255.255.255 80 (msg:"possible Cross Site Scripting Attempt";flow:to_server,established;content:"<script>";fast_pattern:only;nocase;sid:100004;)

<script> 를 통한 xss 공격 관련 규칙

http://chosik.com/category/툴/snort  참조 해볼 수 있겠다.