Intrusion Detection System IDS 실습 Outline IDS IDS 종류 및 탐지 방법 Snort 소개 Snort 기능 Snort 구조 Snort 설치 및 설정 Snort 실습 Intrusion Detection System IDS ID: 621015
Download Presentation The PPT/PDF document "Information Security" is the property of its rightful owner. Permission is granted to download and print the materials on this web site for personal, non-commercial use only, and to display it on your personal computer provided you do not modify the materials and that you retain all copyright notices contained in the materials. By downloading content from our website, you accept the terms of this agreement.
Slide1
Information Security
Intrusion
Detection System
(IDS)
실습Slide2
OutlineIDSIDS
종류
및 탐지 방법
Snort
소개
Snort
기능
Snort
구조
Snort
설치 및 설정
Snort
실습Slide3
Intrusion Detection System (IDS)네트워크나 시스템의
활동을
감시하여 시스템으로
침입하려 하거나
해를 끼치려 하는 등의 공격을 발견하고 필요한 조치를
취하는 시스템단순한 접근 제어 기능을 넘어서 침입의 패턴 데이터베이스와 Expert System을 사용해 네트워크나 시스템의 사용을 실시간 모니터링하고 침입을 탐지하는 보안 시스템Slide4
IDS Information Source
기준 분류
Host
기반
IDS
: OS 감사 자료, 시스템 로그 탐지 트로이 목마 등 네트워크 기반에서 불가능한 침입
탐지 가능
Network
기반
IDS
:
네트워크 패킷 탐지
포트 스캐닝 등 호스트 기반에서 탐지 불가능한
침입 탐지 가능
전체 네트워크에 대한 침입 탐지 가능
Hybrid IDS
:
네트워크와 호스트
IDS
의 장점을 모두 가지고 있음
네트워크와 호스트의 개별 감시 및 통합 감시 가능 Slide5
IDS IDS Analysis
기준 분류
Misuse Detection(
오용 탐지
)
IDS: 정해진 공격모델과 일치하는 경우 침입으로 간주 상대적으로
오판율이
낮음
침입에 사용된 특정 도구
/
기술에 대한 분석 가능
Anomaly Detection(
비정상 행위 탐지
)
IDS
:
비정상적인 행위나 컴퓨터 자원의 사용을 탐지
정해진 모델을 벗어나는 경우를 침입으로 간주
새로운 침입 유형에 대한 탐지 가능
Slide6
Snort1998
년
Sourcefire
사
CTO Martin Roesch 발표공개 네트워크 침입탐지시스템(NIDS)Snort 용어는 sniffer and more
라는 말에서 유래
커뮤니티를 통해 지속적인 탐지
Rule
제공
Multi-Platform(
다양한
OS)에서 실행 가능관리자가 직접 탐지 Rule 설정 가능Slide7
Snort 기능(모드) 분류
Sniffer
네트워크의 패킷을 읽어 보여주는 기능
패킷 데이터의
id/pass
도청 가능Logger모니터링 한 패킷을 저장로그 기록, 트래픽 디버깅에 유용
Network IDS
침입탐지 시스템
네트워크 트래픽
(
패킷
)
분석, 공격 탐지 기능Snort Inline침입방지 시스템
패킷 분석
,
공격 차단 가능Slide8
Snort 구조Slide9
Snort 설치APMSETUPhttp://
apmsetup.com/download.php
adodb
https://sourceforge.net/projects/adodb/?source=directory
Base
https://sourceforge.net/projects/secureideas/postdownload?source=dlpSnorthttps://www.snort.org/downloadsSlide10
Snort 설치APMSETUP
ID : root
PW :
apmsetup
Slide11
Snort 설치C:\APM_Setup\htdocs에 adodb5
복사
index.php
파일 삭제Slide12
Snort 설치Snort 설치Slide13
Snort 설치C:\APM_Setup\htdocs에 base 복사 Slide14
Snort 설정명령 프롬프트로 열기cmd
→
cd \snort\schemasSlide15
Snort 설정>mysqladmin –u create snort (snort
DB
생성
)
>
mysql –D –u root –p < create_mysql(snort DB에 현재 폴더에 있는 create_mysql 내용 넣음)>mysql –u root –p (mysql 콘솔 로그인)>use snort; (snort DB 선택)>show table; (snort DB 테이블 확인)Slide16
Snort 설정Slide17
Snort 설정Base 설정C:\APM_Setup\htdocs\base\includes\base_action.inc.php
//
include_once
("
Mail.php
"); // r.rioux added for PEAR::Mail//include_once("Mail/mime.php"); //r.rioux added for PEAR::Mail attachmentsSlide18
Snort 설정http://localhost/base
C
:\APM_Setup\htdocs\adodb5Slide19
Snort 설정Slide20
Snort 설정Slide21
Snort 설정base 메인화면Slide22
Snort 설정C:\Snort\etc\snort.confprotvar,
ipvar
→
var
/ → \Slide23
Snort 설정Slide24
Snort 설정# 주석처리Slide25
Snort 설정#database에 추가output
database: alert,
mysql
, user=root password=
apmsetup
dbname=snort host=localhostoutput database: log, mysql, user=root password=apmsetup dbname=snort host=localhost Slide26
Snort 설정Slide27
Snort 설정방화벽 해제Slide28
Snort 실행snort -WSlide29
Snort 실행snort -c [설정파일] -l [로그경로
] -
i
[
네트워크 카드 번호
]snort -c C:\Snort\etc\snort.conf -l C:\Snort\log -i 1Slide30
Snort Rule 구조Rule은 Header, Option
으로 구성 됨Slide31
Snort Rule 구조actionalert : Alert
발생시킴
,
패킷 기록
log :
패킷 기록pass : 패킷 무시protocolTCP, UDP, ICMP, IPIP address임의의 주소 any 또는 IP 주소 지정특정 호스트만 지정 : 192.168.1.10/32동시에 여러 IP 지정 192.168.1.0/24, 172.16.0.0/16port 임의의 주소 any 또는 port 번호 지정포트 범위 지정 ‘:’ 사용direction패킷 방향 나타내는 기호-> 좌측 송신자
,
우측 수신자
<>
송수신자
구별없이 지정한
IP
사이의 모든 패킷 대상Slide32
Snort Rule 구조optionSlide33
Snort 실습C:\snort\rules 폴더에 user.rules
파일을
만들고
alert
icmp
any any -> any any (msg:"ICMP TEST"; sid:50001;) 를 추가C:\Snort 에는 so_rules라는 파일을 만들어서50001 || ICMP TEST 를 추가Slide34
Snort 실습다른 PC에서
ping
보내기
Slide35
Snort 실습Slide36
실습 오늘 실습 한 것과 특정 포트 (예
:http, ftp)
로 전송된 패킷을 받으면
alert
되도록
rule 설정한 결과 캡쳐p37에 있는 Rule 분석보고서에 설정한 rule과 탐지된 결과 및 분석 결과 첨부E-mail 제출 : daeunlee@khu.ac.kr (5/15 자정까지)보고서 제목 : [정보보호]hw3_학번_이름.hwp메일 제목 : [정보보호]hw3_학번_이름Slide37
실습Detection Engine : RulesSlide38
Snort 실행 옵션
options
Decription
-A
Alert
모드를
fast, full, none
중의 하나로 지정
-D
스노트를 데몬 모드로 실행
-F <bpf>
BPF
필터링 식을
<bpf>
로 지정된 파일에서 읽어온다
.
-h <hn>
홈네트워크 변수
HOME_NET
을
<hn>
의 값으로 셋팅
-n <cnt>
<cnt>
개의 패킷만을 모니터링하고 프로그램을 종료
-N
로깅 기능을 사용하지 않는다
. Alert
만이 저장
-o
룰셋 테스트 순서를
Pass, Alert, Log
순으로 변경
-p
난잡모드
(promicuous)
를 사용하지 않고 스니핑
-r <tf>
<tf>
로 지정된
tcpdump
파일의 패킷 읽어 들임
-V
버전 정보를 표시
-X
링크 레이어의
law
패킷 데이터를 덤프
-e
두번째 레이어의 헤더 정보를 프린트
-d
어플리케이션 레이어를 덤프
-?
도움말 표시
<filter options>
위치에 지정되는
필터링
옵션은
tcpdump
같이
BPF
를 사용