[6] 스노트 설치와 설정

스노트는 대표적인 호스트 기반의 IDS 방식이다. 스노트(Snort)는 자유-오픈 소스 네트워크 침입 차단 시스템(NIPS: Network Intrusion Prevention System)이자, 네트워크 침입 탐지 시스템(NIDS: Network Intrusion Detection System)으로서, 마틴 로시가 1998년에 개발하였다. 스노트는 현재 로시가 창립자이자 개발자인 Sourcefire에 의해 개발되고 있으며, 2013년 이후로 시스코 시스템즈가 소유중이다.

 

스노트는 다음 사이트에서 무료로 다운로드가 가능하다.

Snort - Network Intrusion Detection & Prevention System

 

스노트는 서명 기반 방식으로 동작한다. 따라서 이를 구동하기 전에 공격 내용을 반영한 일정한 탐지 규칙을 설정해야한다. 현존하는 모든 상용 IDS 장비는 스노트에 기반해 구현한 만큼 보안 장비를 운영하는 입장에서라면 스노트의 기본 문법 숙지는 필수적이다. 

 

1. lsb_release -a 명령어를 통해 버전을 확인하기

2. ifconfig를 통해 이더넷 주소 확인하기

3. apt-get install snort 스노트 다운로드 (설치과정에서 해당운영 체제의 IP 주소를 입력해야한다.)

4. snort -V 스노트 설치 확인

5. snort -T -c /etc/snort/snort.conf 스노트 구동

 

우분투 계열에서는 위의 3번 명령어 한 줄로 스노트를 설치할 수 있다. 다만 설치시 랜 카드 인터페이스 명칭에 주의해야한다. 5번 명령어를 통해 테스트 모드로 동작하면서 스노트를 초기화한 뒤 실행을 마치는 모습을 볼 수 있다.

또한,  cd /etc/snort/rules/ 명령어를 입력하고 ls 를 하면 스노트에서 기본적으로 제공하는 기본 탐지 규칙을 공격 유형별로 볼 수 있다. 

 

위의 명령어를 통해 확인해보면 탐지규칙 확장자가 .rules와 같이 끝난다. 기본 탐지 규칙은 무료로 제공하고 최신 탐지 규칙은 유료로 판매하는 시스코 시스템즈의 영업전략을 확인할 수 있었다.