1.필수 소프트웨어 설치
sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump
2.신 Snort 버전에는 Enterprise Linux 용 추가 패키지 (EPEL)에서 다운로드 할 수있는 libnghttp2 가 필요하며 아래 명령을 사용하여 설치됩니다.
sudo yum install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo yum install -y libnghttp2
3.Yum으로 설치하기
sudo yum install https://www.snort.org/downloads/snort/daq-2.0.6-1.centos7.x86_64.rpm
sudo yum install https://www.snort.org/downloads/snort/snort-2.9.12-1.centos7.x86_64.rpm
4.Snort가 NIDS 모드로 실행되도록 설정하기
sudo ldconfig //공유라이브러리 업데이트
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
5.사용자 이름 및 폴더 구조 설정
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
sudo mkdir -p /etc/snort/rules
sudo mkdir /var/log/snort
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
sudo touch /etc/snort/rules/white_list.rules
sudo touch /etc/snort/rules/black_list.rules
sudo touch /etc/snort/rules/local.rules
6.등록 된 사용자 규칙 얻기
wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz?oinkcode= oinkcode -O ~ / registered.tar.gz
sudo tar -xvf ~/registered.tar.gz -C /etc/snort
7.네트워크 및 룰 세트 구성
sudo vi /etc/snort/snort.conf
# 보호 할 네트워크 주소 설정
ipvar HOME_NET server_public_ip / 32
# 외부 네트워크 주소를 설정하십시오. 대부분의 경우 "모든 것"으로 남김
ipvar EXTERNAL_NET! $ HOME_NET
# rules 파일 경로 (상대 경로 일 수 있음)
var RULE_PATH / etc / snort / rules
var SO_RULE_PATH / etc / snort / so_rules
var PREPROC_RULE_PATH / etc / snort / preproc_rules
# 절대 경로를 적절히 설정하십시오
var WHITE_LIST_PATH / etc / snort / rules
var BLACK_LIST_PATH / etc / snort / rules
$ RULE_PATH / local.rules를 포함하십시오.
$ RULE_PATH / community.rules를 포함하십시오.
8.설정 확인
sudo snort -T -c /etc/snort/snort.conf
실행시 오류가 난다면 아래와 절차를 이용
find / -name 'libdnet*'
/usr/lib64/libdnet.so.1.0.1
/usr/lib64/libdnet.so.1
cd /usr/lib64
ln -s libdnet.so.1.0.1 libdnet.1
9.구성 테스트
sudo vi /etc/snort/rules/local.rules
alert ICMP any any -> $ HOME_NET any (msg : "ICMP 테스트"; sid : 10000001; rev : 001;) //룰추가
sudo snort -A console -i eth0 -u snort -g snort -c /etc/snort/snort.conf
다른 PC로 ping테스트
ex)
07 / 12-11 : 20 : 33.501624 [**] [1 : 10000001 : 1] ICMP 테스트 [**] [우선 순위 : 0] {ICMP} 83.136.252.118 -> 80.69.173.202
snort -r /var/log/snort/snort.log.
ex)
경고 : 정책 0에 대해 구성된 사전 처리기가 없습니다.
07 / 12-11 : 20 : 33.501624 83.136.252.118 -> 80.69.173.202
ICMP TTL : 63 TOS : 0x0 ID : 20187 IpLen : 20 DgmLen : 84 DF
유형 : 8 코드 : 0 ID : 13891 순서 : 1 ECHO
'시스템 > 기타' 카테고리의 다른 글
| CentOS7 DNS 서버 설치 (724) | 2020.08.13 |
|---|