Snort 규칙 생성 :: 모니터링 세팅

 

snort 버전
snort 2.9.9.0

 

---

snort 설치 방법 :

 

RPM 설치

https://bigju.tistory.com/entry/Centos7-Snort-%EC%84%A4%EC%B9%98-%ED%95%98%EA%B8%B0-rpm-%EC%84%A4%EC%B9%98?category=915326 

Centos7 - Snort 설치 하기 :: rpm 설치

 

소스 설치

https://bigju.tistory.com/entry/Centos7-Snort-%EC%84%A4%EC%B9%98-%EC%86%8C%EC%8A%A4-%EC%84%A4%EC%B9%98-%ED%95%98%EA%B8%B0?category=915326 

---

1. 네트워크 및 룰 세트 생성

vi /etc/snort/snort.conf

 

1-1. 방어 네트워크 주소 설정

ipvar HOME_NET server_public_ip / 32

 

1-2. 외부 네트워크 설정 / 대부분 all 처리

ipvar EXTERNAL_NET! $ HOME_NET

 

1-3. Rules 파일 경로

var RULE_PATH / etc / snort / rules

var SO_RULE_PATH / etc / snort / so_rules

var PREPROC_RULE_PATH / etc / snort / preproc_rules

 

1-4. 절대 경로 설정

var WHITE_LIST_PATH / etc / snort / rules

var BLACK_LIST_PATH / etc / snort / rules

 

1-5. 룰 포함

$ RULE_PATH / local.rules를 포함하십시오.

$ RULE_PATH / community.rules를 포함하십시오.

 

 

---

2. 설정 확인

 

2-1. 설정 명령어 입력

snort -T -c /etc/snort/snort.conf

 

---

3. 오류 발생 시 절차

 

3-1. 해결 방법

 

 

find / -name 'libdnet*'

/usr/lib64/libdnet.so.1.0.1

/usr/lib64/libdnet.so.1

cd /usr/lib64

ln -s libdnet.so.1.0.1 libdnet.1

---

 

4. 구성 테스트

 

4-1. 테스트 

 

vi /etc/snort/rules/local.rules

alert ICMP any any -> $ HOME_NET any (msg : "ICMP 테스트"; sid : 10000001; rev : 001;) //룰추가

snort -A console -i eth0 -u snort -g snort -c /etc/snort/snort.conf

 

 

---

5. 로그 확인

 

5-1. 로그 체크

snort -r /var/log/snort/snort.log.

 

---

 

Big Ju
snort