Security/Barnyard7 Suricata IPS CentOS 6.4 설치 방법 git 을 이용한 설치 https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_64_Installation_(with_unix_socket_geoip_profiling_and_MD5_features) inline IPS 설정 https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux Barnyard2 설치 시 필수 패키지 : mysqlclient16, mysqlclient16-devel ./configure --with-mysql-libraries=/usr/lib64/mysql/ Barnyard2 연동 sensor man.. 2014. 3. 31. barnyard2 test based on ubuntu 13.04 cd /usr/local/snort/rules 테스트용 rules 파일 생성 sudo vim local.rules 맨밑줄에 alert tcp any any -> any any (msg:"test"; sid:1000000) # tcp 를 통해 모든 ip의 모든 port 를 통해, 모든 ip의 모든port 를 향해 패킷이 들어오면 msg 를 남겨라 1. barnyard2, snort 실행 1) snort sudo /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0 -D 감시할 NIC에 따라 eth0 이든 eth1 이든 eth0 이 아닌경우 barnyard2 에서도 설정을 동일하게 맞춰줘야함 2) barn.. 2014. 3. 31. barnyard2 데몬 만들기 리눅스에는 데몬이라는게 있어서 데몬 모드로 실행을 하면 백그라운드에서 돌아가는 듯 하다. 그래서 이 데몬을 만들어서 부팅시 시작하게 만들어주면 서버가 구동됨과 동시에 서비스를 시작하게 만들 수 있다. [ Snort 데몬 만들기 ] ln -s /usr/local/bin/snort /usr/sbin/snort cp /usr/local/snort-2.9.1/rpm/snortd /etc/init.d cp /usr/local/snort-2.9.1/rpm/snort.sysconfig /etc/sysconfig/snort cd /etc/rc3.d ln -s ../init.d/snortd S99snortd cd ../rc0.d ln -s ../init.d/snortd K99snortd cd /etc/rc5.d ln -.. 2014. 3. 31. barnyard2 syslog 설정 1. barnyard2 syslog 설정 Snort에서 Output을 담당하고 있는 모듈인 barnyard에서는 syslog로의 출력도 지원한다. /etc/snort/barnyard2.conf 파일에서 syslog output 부분에 다음과 같이 설정해줍니다. output alert_syslog: xxx.xxx.xxx.xxx, LOG_AUTH LOG_ALERT 앞의 주소는 로그를 보낼 원격지 주소이고 뒷 부분은 어떤 종류의 로그를 보낼지를 정의합니다. 2. rsyslog 설정 /etc/rsyslog.conf 파일에서 rsyslog를 설정할 수 있습니다. # Provides UDP syslog reception 부분에서 udp포트를 정의하는데 기본으로 514로 정의되어있으므로 아래 두 줄의 주석만 해제해주.. 2014. 3. 31. barnyard2 설치 #####snort.conf 설정변경########################## 두줄추가 (output부분) #unified output unified2: filename snort.log, limit 128 ########barnyard2 설치(64bit기준)######################################## cd /root/ barnyard2.tar.gz복사 tar zxvf barnyard2-1.8.tar.gz cd barnyard2-1.8 ./configure --with-mysql-libraries=/usr/lib64/mysql/ make make install cp etc/barnyard2.conf /etc/snort/ mkdir /var/log/barnyard2 chm.. 2014. 3. 31. Barnyard2 설치 Banryard의 개념 barnyard는 Snort가 기본적으로 갖고 있는 출력 기능을 대신 해주는 도구로서 Snort의 효율성을 향상 시켜 준다. snort의 새로운 unified2 파일 형식용으로 특별히 만들어 진 것으로 현재는 Barnyard2-1.9가 최신이며, 계속해서 사용자들의 피드백으로 업데이트 되고 있다. Barnyard 설치 과정 service mysqld start => 먼저 Barnyard는 DB를 사용하므로 MYsql을 실행시켜 준다. mysql로 접속을 한 후 설정을 해주도록 한다. SET PASSWORD FOR root@localhost=PASSWORD('본인이 설정할 비밀번호'); create database snort; => snort라는 사용자 DB를 생성 grant ALL.. 2014. 3. 31. Barnyard 설치 & 설정 barnyard는 Snort가 기본적으로 갖고 있는 출력 기능을 Snort 대신 해주는 도구이다. Snort의 목적은 탐지하는 기능이다. 그렇기 때문에 출력하는 기능을 외주를 준다고 생각하면 된다. 그렇게 되면 Snort는 패킷을 탐지하고 분석하는 기능만을 중점적으로 하기 때문에 좀 더 효율적인 운영이 가능하다. 그래서 snort.conf 파일에서 수정한 output database 부분은 주석처리를 하고 barnyard에서 database 부분을 설정해서 사용하는 것이다. barnyard도 압출 풀고 설치하는 과정은 똑같지만, mysql이 들어가는게 다른 부분이다. ./configure --with-mysql && make && make install 그리고 /usr/local/barnyard2-1.9.. 2014. 3. 31. 이전 1 다음