Snort를 네트워크 침입탐지 시스템으로 이용하는데 맨 처음 만나는 난관은 이 많은 로그들을 어디서부터 접근하냐는 점이다. 대략 16,000여개의 룰이 존재하고 어떤 것들은 쓸모없는 것이 있는가 하면 False-positive의 오류에 빠질 수도 있다.
이에 Sourcefire의 Security Consultant I 인 토니 로빈슨은 다음과 같은 방법으로 접근하기를 조언하고 있다.
1. Pulled pork, http://code.google.com/p/pulledpork
Snort의 룰 베이스를 이 pulled pork라고 할 정도로 유용한 툴이고 Snort웹사이트에서 주기적으로 룰을 다운받아 시스템에 적용하게 되고 세가지의 정책을 사용하는데 connectivity over security, balanced, security over connectivity이다. Pulled Pork를 이용해서 본인의 Snort에 적용후 튜닝해 나가면 된다.
2. SANS @Risk 뉴스레터, http://www.sans.org/newsletters/risk
SANS는 일주일에 한번씩 무료로 보안관련 뉴스를 배포하고 이는 최신의 Exploit, Malware등을 알려주고 각각의 취약점은 Snort SID와 ClamAV signature를 가지므로 손쉽게 분석값을 공유할 수 있다.
3. local.rules
네트워크를 보안하는데 있어 무엇보다 중요한것은 본인의 네트워크를 아는 것이고 그 네트워크에 맞는 룰을 설정하는 것이다. snort.org에서 무료로 제공하는 메뉴얼을 통해 http://www.snort.org/assets/166/snort_manual.pdf 본인만의 룰을 만드는게 시스템을 이해하고 발전시키는데 중요한 일일 것이다. 아래는 간단한 룰을 통해 ICMP의 패킷을 찾는 방법이다.
icmp any any any any (message:"[당신의 메세지를 적으세요]";sid:3000000;rev:1;)
추가로 Preprocessor을 통해 stream, fragmentation, normalization등을 분석할 수 있으므로 preprocessor과 preproc_rules에 대해서도 알아두면 본인의 네트워크를 아는데 도움이 될 것이다.
'IT 이야기' 카테고리의 다른 글
| 삼성과 애플의 특허소송 (0) | 2012.08.25 |
|---|---|
| 페이스북 생존 혹은 몰락에서 (0) | 2012.08.24 |
| 구글 크롬 7 vs 삼성 갤럭시2 7 vs 킨들 파이어 (0) | 2012.06.30 |
| 구글맵 오프라인 (0) | 2012.06.28 |
| 구글 넥서스 7 + 젤리 빈 (1) | 2012.06.28 |
