본문 바로가기
  • AI (Artificial Intelligence)

Security103

HOWTO : Suricata on Ubuntu 12.04 LTS Server Suricata is an Open Source Next Generation Intrusion Detection and Prevention Engine. This engine is not intended to just replace or emulate the existing tools in the industry, but will bring new ideas and technologies to the field. There is an Ubuntu PPA of Suricata for Ubuntu 10.04 to 13.04 and the Ubuntu 13.04 is included Suricata in her repositories too. Meanwhile, those packages have IPS mo.. 2014. 2. 13.
Setting up IPS/inline for Linux In this guide will be explained how to work with Suricata in inline mode and how to set iptables for that purpose. First start with compiling Suricata with NFQ support. For instructions see Ubuntu Installation. For more information about NFQ and iptables, see suricata.yaml. To check if you have NFQ enabled in your Suricata, enter the following command:suricata --build-info and examine if you hav.. 2014. 2. 13.
[칼럼]오픈소스 DPI, 시장 눈높이 맞출 수 있을까? 보안 업계의 뜨거운 테마로 'DPI(Deep Packet Inspection)'가 급부상 하고 있다. DPI는 기술적으로도 이슈지만 망 사업자들이 패킷 깊숙한 곳까지 들여다 보며 사적인 정보까지 캐낼 수 있다는 우려의 목소리 또한 높다. 참고로 본 칼럼에서는 시장 및 제도 관점이 아니라 DPI라는 새로운 패러다임 앞에서 오픈 소스 진영에서 어떤 움직임을 보이고 있는지 조망해보겠다. 대표적인 오픈소스 DPI 기술로 스노트(snort)와 미국 정부의 지원을 받고 있는 수리카타(Suricata)를 꼽을 수 있다. 스노트나 수리카타는 침입탐지시스템(IDS/IPS) 엔진이 아닌가? 그런데 뜬금없이 DPI라니! 의아한 독자도 있을 것이다. DPI는 보안 기술 측면에서 볼 때 IDS/IPS의 미래 모습이다. 현재 I.. 2014. 2. 13.
How To Install Suricata 1.4.6 On Ubuntu 13.10, 13.04, 12.10, 12.04, Linux Mint 15, 14, 13, Elementary OS 0.2 And Pear OS 8 How To Install Suricata 1.4.6 On Ubuntu 13.10, 13.04, 12.10, 12.04, Linux Mint 15, 14, 13, Elementary OS 0.2 And Pear OS 8 Hello Linux Geeksters. As you may know, Suricata is an open source Network IDS, IPS and Network Security Monitoring engine, developed by the Open Information Security Foundation (OISF). The latest version available is Suricata 1.4.6, which has been added to the stable ppa le.. 2014. 2. 13.
[Snort] 설치 스노트는 초기에는 Packet Sniffer로 만들어진 도구이다. Signature 기반에 분석 기능이 추가되면서 침입 탐지 시스템으로 사용되기 시작하였다. 현재는 P2P, 백도어, DDos, 웹 공격, 악성코드 등을 탐지할 수 있는 규칙이 제공되고 있다. 구성 환경 : VMware, CentOS 5.3, Snort-2.9.3.1 1. VMware 설정 CentOS를 구동한 다음에 Network 설정을 NAT모드로 설정한다. 2. Snort를 설치하기 위해 필요한 라이브러리를 수동으로 설치한다. cd /usr/local tar zxvf /root/Desktop/snort/libnet-1.0.2a.tar.gz cd Libnet-1.0.2a ./configure && make && make install c.. 2014. 2. 11.
[Snort] SnortReport 설치 SnortReport도 Database에 저장된 정보를 불러와 사용자가 분석할 수 있도록 도와주는 도구이다. cd /var/www/html tar zxvf /root/Desktop/snort/snortreport-1.3.3.tar.gz cd snortreport-1.3.3 cd /var/www/html tar zxvf /root/Desktop/snort/snortreport-1.3.3.tar.gz mkdir /sr mv ./snortreport-1.3.3 ./sr vim srconf.php 31, $pass = "1234"; 44, define("JPGRAPH_PATH", "/var/www/html/jpgraph/src/"); 50, define("NBTSCAN_PATH", "/usr/local/nbts.. 2014. 2. 11.
[Snort] 사용 방법 -v : Be verbose(IP, TCP, UDP, ICMP Header들을 출력함) [root@localhost ~]# snort -v Running in packet dump mode --== Initializing Snort ==-- Initializing Output Plugins! pcap DAQ configured to passive. Acquiring network traffic from "eth0". Decoding Ethernet --== Initialization Complete ==-- ,,_ -*> Snort! 192.168.100.9:33653 UDP TTL:128 TOS:0x0 ID:65246 IpLen:20 DgmLen:156 Len: 128 BD CD 81 80 00 01 .. 2014. 2. 11.
[Snort] User Manual The Snort Project ( www.snort.org ) - May 23, 2012 snort_user_manual_2.9.3.pdf - November 5, 2012 snort_user_manual_2.9.4.pdf 출처 : http://gonisec.tistory.com/entry/Snort-User-Manual 2014. 2. 11.
스노트(snort) 룰을 이용한 PCAP파일 생성 및 IPS탐지 TEST 스노트(snort) 룰을 이용한 PCAP파일 생성 및 IPS탐지 TEST 개요 스노트(snort) 룰을 이용한 PCAP파일 생성 및 IPS탐지 TEST 설치 우선 linux CentOS6.4에서 돌리는게 좋다... 버전때문에 ^^; 설치순서는 아래 순서대로 설치한다 1. byacc bison flex python python-devel svn (yum설치) 2. libpcap (Compile 설치) 3. tcpreplay (Complie 설치) 4. scapy (python script 설치) 5. rule2alert (svn 설치) 필수 패키지 설치 설치전 yum을 이용하여 필요한 rpm을 손쉽게? 설치한다 필요한 패키지 byacc bison flex python python-devel svn (yum.. 2014. 2. 11.
rule2alert - 스노트 룰로 패킷 만들기 스노트룰을 파싱하여 자동으로 네트워크 데이터를 발생시켜 룰(시그니처)를 검증해주는 툴로, s2gen.pl 이라는 것이 있어요. (패킷인사이드; 스노트룰 파싱하여 패킷생성, 전송하기) 오늘 소개해드릴 도구 rule2alert 는 스노트 룰로 패킷을 만들 수 있는 도구입니다. QA에 매우 유용하겠죠! 사용방법은 위키에 잘 나왔으니 참고하시고요. 아주 유용한 기능은 스노트룰을 파싱해서 네트워크 데이터를 만드는것 뿐만 아니라 해당 정보로 PCAP파일로 생성할 수 있다는 거예요. 또한 룰에 flow 옵션이 있다면 TCP 3-way Handshaking 도 자동으로 생성해 줍니다 ^-^)b 도구를 테스트 하다 보면 다음과 같은 문제에 부딪히게 될거에요. 위 pcap 파일 스냅샷을 보시면 맥주소로 채워져야 할 부분이.. 2014. 2. 11.
오픈 소스 IDS/IPS Suricata 1.0 Suricata INSTALL http://openinfosecfoundation.org/doc/INSTALL.txt Suricata 1.0.0 setup on Ubuntu 10.04 http://bailey.st/blog/2010/07/03/suricata-1-0-0-setup-on-ubuntu-10-04/ HowTo setup suricata 1.0.0 on Mac OS X on IDS and IPS mode with IPFW http://pablo-secdev.blogspot.com/2010/07/howto-setup-suricata-100-on-mac-os-x.html HOWTO-Suricata IDS on Debian 5.0 (Lenny) http://diatel.files.wordpress.c.. 2014. 2. 5.
DPI (Deep Packet Inspection) 1. QoS 확보를 위한 패킷 내용의 감시, DPI - 기존의 라우터나 스위치가 헤더 부분만을 파악했던 것과는 다르게 패킷의 Signature 전부를 분석하여 해당 트래픽의 의도를 파악, 해킹의 탐지 및 악성코드 필터링 위한 기술 2. DPI의 주요 기능 및 Signature 분석 방법 가. DPI의 주요 기능 1) 병목구간의 탐지 (서비스/트래픽/디바이스의 병목의 근원 검색/관리) 2) 트래픽 제어 (P2P, VoIP에 따른 과부하의 조정, QoS의 보장) 3) 공격 패킷 차단 (악성코드, 스팸 등의 대규모 공격을 사전 차단) 4) SLA 측정 지원 (QoE, ARPU, Billing의 효과성 측정) 나. DPI의 Signature 분석 방법 1) 접속 포트 분석 : 필터링 2) 문자열 비교 분석 : .. 2014. 2. 5.
스노트(Snort)를 위협하는 IPS시장의 신 강자 수리카타(Suricata) 그림 1. SURICATA 로고 Suricata(수리카타)는 Open source기반의 IDS(Intrusion detection system)입니다. 사실 Open source 기반의 IDS/IPS라고 하면 Snort(스노트)가 대표적입니다. 거의 독보적이라고 할 정도로 오랜 시간 입지를 굳혀오고 있었지요. 오픈 소스의 특성상 많은 사람들이 사용하고 피드백을 주게 되면 그 만큼 오류 수정 및 기능 추가에 용의하게 됩니다. Snort는 오랜 시간 전 세계 많은 사용자의 도움으로 다양한 공격을 좀 더 정확하게 탐지하는 방법에 중점을 두고 발전을 해왔다고 봅니다. 문제는, 그 사이 인터넷 세상은 집집마다 광 케이블을 통한 초고속 인터넷이 설치 되는가 하면 스마트폰 보급이 빠른 속도로 진행되면서 급속도로 팽창.. 2014. 2. 5.