1

Similar documents
Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Windows 8에서 BioStar 1 설치하기

Snort Install Manual Ad2m VMware libnet tar.gz DebianOS libpcap tar.gz Putty snort tar.gz WinSCP snort rules 1. 첫번째로네트워크설정 1) ifconf

JDK이클립스

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

Chapter 1

Install stm32cubemx and st-link utility

01장

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Studuino소프트웨어 설치

Microsoft Word - src.doc

슬라이드 1

정보보안 개론과 실습:네트워크

슬라이드 1

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

슬라이드 1

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

을풀면된다. 2. JDK 설치 JDK 는 Sun Developer Network 의 Java( 혹은 에서 Download > JavaSE 에서 JDK 6 Update xx 를선택하면설치파일을

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Windows 10 General Announcement v1.0-KO

OnTuneV3_Manager_Install

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

슬라이드 1

NTD36HD Manual

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

4S 1차년도 평가 발표자료

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

Endpoint Protector - Active Directory Deployment Guide

View Licenses and Services (customer)

MF5900 Series MF Driver Installation Guide

슬라이드 1

PowerPoint Template

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

슬라이드 제목 없음

IRISCard Anywhere 5

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

SBR-100S User Manual

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

ThinkVantage Fingerprint Software

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Microsoft PowerPoint - 03_DB Migration 방법론 및 툴 사용법-인쇄.ppt

MF Driver Installation Guide

Microsoft Word - CPL-TR wireshark.doc

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

PowerPoint Template

TOOLS Software Installation Guide

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

PowerPoint Template

untitled

윈도우시스템프로그래밍

슬라이드 1

vRealize Automation용 VMware Remote Console - VMware

윈도우시스템프로그래밍

소프트웨어공학 Tutorial #2: StarUML Eun Man Choi

BEA_WebLogic.hwp

Microsoft PowerPoint - 10Àå.ppt

MF3010 MF Driver Installation Guide

행자부 G4C

B.3 JDBC 설치 JDBC Java DataBase Connectivity 는자바에서 DBMS의종류에상관없이일관된방법으로 SQL을수행할수있도록해주는자바 API Application Program Interface 다. 이책에서는톰캣과 SQL Server 간의연결을위

Admin Guide for dummy

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

슬라이드 1

Cubase AI installation guide

ipTIME_A2000U_Manual

슬라이드 1

메뉴얼41페이지-2

Windows Server 2012

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

Data Sync Manager(DSM) Example Guide Data Sync Manager (DSM) Example Guide DSM Copyright 2003 Ari System, Inc. All Rights reserved. Data Sync Manager

소개 Mac OS X (10.9, 10.10, 10.11, 10.12) 와 OKI 프린터호환성 Mac OS X 를사용하는 PC 에 OKI 프린터및복합기 (MFP) 제품을연결하여사용할때, 최고의성능을발휘할수있도록하는것이 OKI 의목 표입니다. 아래의문서는 OKI 프린터및

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

MySQL-Ch10

게임 기획서 표준양식 연구보고서

CODESYS 런타임 설치과정

Microsoft Word - Windows_Server_Hmail_설치법

Title Here

Microsoft Word - CAE 클러스터 환경 구축-ABAQUS.doc

Xcovery 사용설명서

PowerPoint 프레젠테이션

슬라이드 1

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

이 장에서 사용되는 MATLAB 명령어들은 비교적 복잡하므로 MATLAB 창에서 명령어를 직접 입력하지 않고 확장자가 m 인 text 파일을 작성하여 실행을 한다

PowerPoint 프레젠테이션

JAVA 플랫폼 개발 환경 구축 및 활용

슬라이드 1

Microsoft PowerPoint - [부가상품]USBsafe 사용자 메뉴얼_111103

Transcription:

윈도우사용자를위한 Snort + MySQL + HSC 연동가이드 2005 년 11 월 16 일 배상우선임컨설턴트 STG Security, Inc.

1. 개요 본문서는 Windows 2000/XP 환경에서 Snort, MySQL, Honeynet Security Console ( 이하 HSC 로약칭함 ) 를연동하여 Snort 경고를실시간모니터링하는것에대해다루고자한다. 이문서는 Honeynet Security Console의라이센스상의제약으로인해단일 Snort 센서를기준으로작성하였다. 2. Snort 와 HSC Snort 는 실시간트래픽분석과 IP 네트워크상에서패킷로깅이가능한경량네트워크침입탐지시스템 으로패킷수집라이브러리인 libpcap 에기반한네트워크스니핑엔진과손쉽게편집가능한탐지 rule을통해, 네트워크트래픽을감시하고보안위반사항을모니터링할수있는도구이다. Snort는프로토콜분석, 내용검색 / 매칭, 버퍼오버플로우공격, 포트스캐닝, CGI 공격, SMB 스캐닝, OS 정보획득시도등의다양한공격과스캐닝을탐지할수있다. 또한 Snort의탐지 rule은손쉽게편집가능하여보안커뮤니티를통해지속적으로업데이트되고, 본인이자신의환경에맞게수정, 추가할수있으므로상용제품에비해유연성이뛰어나다. Honeynet Security Console은 IDS, 방화벽로그, Unix 시스템의 syslog, TCPDump 등다양한보안도구의로그정보를취합하여실시간모니터링을수행할수있도록설계된시스템으로일종의 ESM 시스템이다. Snort IDS와의연동을염두에두고다양한통계정보, 패킷분석, nslookup, whois, ping 등침입자역추적에필요한네트워크유틸리티지원기능을포함하고있으며, 상관관계분석기능을제공하여발생된이벤트에대한상세분석을지원한다. 기존에 Snort 연동에즐겨사용되던 ACID에비해미려하고직관적인사용자인터페이스를지원하여상용 IDS에못지않는편리함을제공하는것이특징이다.. 3. 도구준비 가. WinPcap - http://www.winpcap.org/install/bin/winpcap_3_1.exe 나. MySQL win32 - http://www.mysql.org/ : MySQL 4.1 다. Snort win32 - http://www.snort.org/dl/binaries/win32/snort_243_installer.exe 라..NET Framework 1.1 - http://www.microsoft.com/ 마. Honeynet Security Console - http://www.activeworx.org/downloads/hsc.v2.6.0.msi 4. 도구설치 - 1 -

가. WinPcap 설치먼저윈도우에 WinPcap을설치한다. WinPcap 은범용패킷캡쳐라이브러리인 libpcap의 window 버전으로 Snort가패킷캡쳐를수행하기위해반드시필요하다. WinPcap 은 3. 도구준비 에서언급한 WinPcap 공식사이트에서최신버전을다운받아더블클릭하면자동으로설치되며별도의설정없이간편하게사용가능하다. 나. MySQL Win32 설치 MySQL은경량 DBMS로 Snort의로그나이벤트를저장하기위해연동된다. 3. 도구준비 에서언급한 MySQL 공식사이트에서최신버전을다운받아설치한다. 이때 MySQL 5 를다운받지않도록주의하자. MySQL 5 는최근까지개발버전이었으며 Snort 2.4.3 과의연동에일부문제가있다. MySQL 4.1.15 는현재시점에서안정버전중최신버전이므로이버전을사용하도록하겠다. 다운받은 MySQL win32의압축을해제한후 setup.exe를실행한다. 그림 1 MySQL 설치초기화면 설치유형은 Typical 을선택한다. MySQL에대해자세히아는사람이라면다른옵션을선택해도무방하나본문서에서는 Typical을선택하도록하겠다. - 2 -

그림 2 MySQL 설치유형 최종적으로설치의사를묻는화면이나오면 [Install] 을선택한다. 그림 3 설치확인 설치중화면이완료된후에아래와같이 MySQL 사이트에대한등록옵션이뜨게되는데 MySQL 사이트에등록하고자하는사용자나기존등록사용자라면위의 2 개의옵션을선택하되, 본문서에서는등록을하지않을예정이므로 3번째옵션을선택한다. - 3 -

그림 4 사용자등록화면 설치종료시아래와같이 MySQL 설정을시작할지묻게되는데, 디폴트상태로해당옵션을체크한상태로 [Finish] 를누른다. 그림 5 설치종료화면 MySQL 설정화면에서 [next] 를선택하면아래와같이설정옵션을묻는화면이나타난다. 디폴트상태인 [Detailed Configuration] 을선택하여세부사항을조정하도록하자. - 4 -

그림 6 설정옵션선택화면 MySQL 서버사용유형에서디폴트값은 [Developer Machine] 으로메모리를최소화하여사용 하게된다. Snort 가모니터링할네트워크대역의트래픽이높지않다면디폴트값으로도큰문제가없으므로디폴트값을선택하도록한다. 그림 7 MySQL 사용유형 MySQL 내부 DB 엔진에대해선택하는아래와같은화면이나오면역시디폴트값인 [Multifunctional Database] 를선택한다. - 5 -

그림 8 DBMS 유형 MySQL이내부적으로사용하는파일이설치될위치를묻는데, 적절한드라이브와디렉터리를지정한다. 별도의드라이브가있다면해당드라이브 ( 예 : D: MySQL) 로지정해주면하드디스크접근속도상에서약간이득을볼수있다. 그림 9 설치위치지정화면 MySQL에대한동시접속수를설정하는부분에서디폴트값을사용해도무방하나본문서에서는 [Manual Setting] 을선택하여동시접속 15 개로지정하였다. - 6 -

그림 10 동시접속수설정화면 MySQL 을윈도우의 named pipe 가아닌네트워크를통해접속할수있도록포트를지정해주는 화면인데, 해당옵션을해제해주는것이보안상보다바람직하나 Snort 로그를원격지에서도모니터링할수있도록해당옵션을선택해준다. 그림 11 MySQL 네트워크지원포트설정 MySQL의사용문자셋은임의의값으로설정해도무방하나한글지원등을고려하여 2번째옵션을선택한다. - 7 -

그림 12 문자셋설정화면 윈도우가켜질때마다 MySQL 서버를자동으로시작하기위해서는디폴트값인 [Install As Windows Service] 를그대로둔다. 향후 mysql 설정작업을보다원활히하기위해서 [Include Bin Directory in Windows PATH] 옵션도선택한다. 그림 13 MySQL 서비스설정 이제 MySQL 관리자패스워드를설정할차례다. MySQL이보안을의식하기시작하고있음을보여주는부분이다. 과거에디폴트로익명사용자가설치되던것과달리익명사용자는의도적으로선택하기전에는생성되지않는다. MySQL 관리자계정인 root 의패스워드를추측하기어려운암호로설정하자. - 8 -

그림 14 관리자계정암호설정 최종설정이완료되기직전단계이다. 이제까지의설정에문제가없었으면 [Execute] 를선택하고, 일부수정할사항이있다고생각되면다른버튼을클릭한다. 그림 15 최종설정완료직전화면 이제최종설정이완료되었다. - 9 -

그림 16 최종설정완료화면 설치가성공적으로되었는지확인하기위해서는 [ 시작 ]->[ 실행 ] 을선택하여 cmd 로윈 도우명령행창을열고아래와같이 mysql 에접속해보면된다. 그림 17 설치확인완료 다. Snort Win32 설치 3. 도구준비 에서언급한 Snort 공식사이트에서최신버전을다운받아설치한다. 설치프로그램의 GPL 라이센스확인에동의하고나면아래와같이 DB 연동설정에대해묻는화면이나오는데, 본문서에서는 MySQL과연동할예정이므로디폴트값을그대로선택하고다 - 10 -

음으로넘어간다. 그림 18 Snort DB 연동선택화면 설치할패키지도역시디폴트로선택하고다음으로넘어가면, Snort 설치디렉터리를묻는화면이나온다. 디폴트값도무방하나자신이원하는다른디렉터리를선택해주어도좋다. 그러나 Snort 설정파일에서해당디렉터리의절대경로를참조하기때문에, Snort 설정을편하게하기위해서는 C: Program Files 처럼디렉터리명이길고복잡한곳에설치하지않는것이좋다. 본문서에서는디폴트값인 C: Snort를선택하였다. 그림 19 설치디렉터리지정 - 11 -

이제 Snort 설치가완료되었다. 설치완료후나오는길다란설명문서는 WinPcap 을설치해야한다는안내문구로우리는이미설치하였으므로상관이없다. 그림 20 Snort 설치완료화면 라. HSC 설치컴퓨터에이미.NET Framework 가깔려있다면아무문제가없으나깔려있지않다면마이크로소프트사이트에서.NET Framework 1.1 재배포가능버전을다운받아설치하고, 필히윈도우업데이트를수행하여.NET Framework 1.1 서비스팩 (SP 1) 을설치한다. HSC가내부적으로.NET Framework에의존하기때문이다. 이제 activeworx 사홈페이지에서 Honeynet Security Console을다운받아설치하자. 라이센스문구에서동의를선택하고다음으로넘어가서, 사용자명과소속기관부분에대해적절한값을선택하여다음으로넘어간다. 설치디렉터리를묻는화면이나오는데, 적절한디렉터리로변경해주거나디폴트상태에서다음을선택한다. - 12 -

그림 21 설치디렉터리선택 이후에나오는화면에서 [install] 을선택하면아래와같이최종설치가완료된다. 만약아래와같은화면이나타나지않고 Chart FX 관련에러메시지가나타나면.NET Framework 가설치되지않은것이니마이크로소프트사이트에서다운받아설치하도록한다. 그림 22 설치완료화면 이제기본적인설치는완료되었고 Snort, MySQL, HSC 를상호연동할차례다. 5. 설정및연동 가. Snort 설정 - 13 -

Snort 설치디렉터리 ( 본문서에서는 C: Snort) 아래의 etc 디렉터리에보면 snort 설정파일인 snort.conf 파일이있다. 해당설정파일에서 var HOME_NET 부분에모니터링할네트워크대역을설정한다. 예를들면디폴트값인 var HOME_NET any 를 var HOME_NET 10.1.2.0/24 과같이수정하면된다. 운영환경이윈도우환경이므로설정파일에서 var RULE_PATH 부분에 snort 탐지룰디렉터리를절대경로로설정한다 ( 예 : var RULE_PATH c: snort rules). classification.conf 도 snort 절대경로를포함하도록수정한다 ( 예 : include c: snort etc classification.config). reference.conf 도 snort 절대경로를포함하도록수정한다 ( 예 : include c: snort etc reference.config). 추가로해당설정파일에서 snort 탐지룰디렉터리를참조하는 / 문자를찾아서윈도우디렉터리구분자인 로대체해준다. 예를들면 include $RULE_PATH/local.rules 를 include $RULE_PATH local.rules 로변경한다. 나. Snort 룰설치 Snort 탐지룰을설치할차례이다. Snort 공식사이트 (http://www.snort.org/pubbin/downloads.cgi) 에서 Snort 탐지룰을다운받아압축을해제한다. 압축이해제되면 doc 디렉터리와 rules 디렉터리가생성되는데, rules 디렉터리이하의파일은 Snort 설치디렉터리의 rules 디렉터리 (c: snort rules) 에복사하고, doc signature 디렉터리이하의파일은 Snort 설치디렉터리의 signature 디렉터리 (c: snort doc signature) 에복사한다. 다. Snort 와 MySQL 연동 Snort 와 MySQL를연동할차례이다. 먼저 snort 로그와이벤트를저장할 MySQL db와 table을만들어야하므로 [ 시작 ]->[ 실행 ] 에서 cmd 로윈도우명령행창을열고아래와같이 snort 가사용할 db 를생성한다. DB 명은구분을쉽게하기위해 snort로설정하였으며, 사용자가원하는임의의이름을사용하여도좋다. 그림 23 Snort DB 생성 이제아래와같이 Snort 가내부적으로사용하는 DB 테이블등의스키마를생성한다. - 14 -

그림 24 Snort DB 스키마생성 snort.conf 파일에서 output database: log, mysql, user=root password=test dbname=db host=localhost 과같이되어있는부분을찾아주석 (#) 을제거하고, 패스워드부분에이전에설정한 MySQL 패스워드를삽입한다. dbname 에는 DB 생성시사용한 DB명을사용한다. 예제에서는다음과같다. output database: log, mysql, user=root password=[password] dbname=snort host=localhost 이제 Snort와 MySQL의연동작업이완료되었다. 적절히설정되었는지확인하기위해서는 snort 명령어프로그램을사용하여검사해야한다. 먼저현재컴퓨터에설치된네트워크카드를알아보자. 그림 25 네트워크카드확인 4개의네트워크카드가검색되었으며, 이중 1개는모뎀, 2개는가상네트워크카드, 마지막 1개는리얼텍랜카드인것을알수있다. 우리가모니터링할네트워크는리얼텍랜카드의네트워크대역이므로아래와같은명령어를수행하여 Snort 설정파일의정상여부를점 - 15 -

검할수있다. 그림 26 Snort 설정파일검사 각옵션의의미는다음과같다. - T 옵션 : Snort 설정파일정상여부테스트 - l 옵션 : 로그파일저장위치, MySQL을사용하므로무조건 snort 설치디렉터리이하의 log 디렉터리로지정. - c 옵션 : Snort 설정파일위치, 일반적으로 c: snort etc snort.conf. - i 옵션 : 모니터링할네트워크카드의번호, -W 옵션결과를통해지정하면쉬움. 그림 27 점검결과 별다른에러메시지없이 Snort exiting 메시지가나타나면설정파일에아무문제가없다는의미이다. 만약에러메시지가나타난다면 Snort 설정파일을다시살펴보도록한다. 라. HSC 와 MySQL 연동 HSC와 MySQL을연동할차례이다. HSC는내부적으로별도의 DB를사용하므로아래와같이 HSC가사용할 DB를생성한다. HSC가이용하는 DB의디폴트명은 aw_hsc 이다. 그림 28 HSC 용 DB 생성 - 16 -

이제아래와같이 HSC 가내부적으로사용하는 DB 테이블등의스키마를생성한다. 그림 29 HSC 용 DB 스키마생성 바탕화면의 HSC 아이콘을클릭하여프로그램을실행하면아래와같이로그인화면이나타난다. Username에는 MySQL 관리자명인 root를, Password에는이전에설정한 MySQL 관리자패스워드를넣는다. IP Address는본문서에서는자신의컴퓨터인 127.0.0.1 로지정한다. 그림 30 로그인화면 맨처음로그인하면에러창이뜨게되는데정상이므로놀라지말고, 아래와같이 Snort가사용하는 MySQL DB를등록한다. 프로그램화면왼쪽의 [Resources] 를선택하면창이열리면서 [Databases] 가나타난다. - 17 -

그림 31 MySQL DB 등록절차 1 [Databases] 를선택한후마우스오른쪽버튼을누르면아래와같이 Add database 가나타 난다. 그림 32 MySQL DB 등록절차 2 이어서나타나는화면에서아래화면과같이해당부분을다기입한후 OK 버튼을누른다. 이때 Database Name 부분은먼저 [Fill Databases] 버튼을클릭하고나면나오는리스트 중 Snort 가사용하는 DB 명 ( 예 :snort) 을선택하도록주의한다. - 18 -

그림 33 MySQL 연동정보기입 HSC 가 MySQL 접속에성공하면아래와같이 IDS Sensors 라는항목이나타나면서왼쪽메뉴 에 IDS 메뉴가추가된다. 그림 34 Snort 사용 MySQL DB 연동성공 왼쪽에추가된 IDS 메뉴를누르면아래와같이 IDS 이벤트모니터링창이뜨게된다. - 19 -

그림 35 IDS 모니터링준비 해당창에서 + 버튼을누르면아래와같이다양한하위메뉴가열리며, IDS 모니터링을위 한준비가완료된다. 그림 36 IDS 모니터링준비완료 마. Snort 실행및모니터링 - 20 -

이제본격적으로 Snort 를사용할차례이다. 지금까지의설명을충실히따른사용자라면설정에문제가없을것으로본다. 아래와같이 Snort 를실행한다. 그림 37 Snort 실행 유심히본사용자라면 Snort 설정파일이정상적인지점검하는명령어에서 T 옵션만제거한명령어라는것을알수있을것이다. - 21 -

그림 38 Snort 실행결과화면 각도구가적절히연동되어실시간모니터링이가능한지살펴보기위해, 취약점스캐너를이용해스캐닝을해보도록한다. Snort와 MySQL의연동에문제가없으면스캐닝수행중에아래와같이화면에변화가없어야한다. 만약해당화면에 insert 등의문자열이뿌려지면서화면이스크롤되면 Snort와 MySQL 연동에문제가있는것이니, MySQL 설정, Snort 설정파일등을점검해보도록한다. - 22 -

그림 39 스캐닝수행중 Snort 화면 HSC 를사용하여 Snort 의이벤트및로그를실시간으로모니터링하는화면은다음과같다. 그림 40 HSC 실시간모니터링화면 6. HSC 사용 - 23 -

HSC의사용법은직관적이어서별도의설명이필요없으나, 기본적인사용법을설명하면다음과같다. 가. Event Overview Event Overview 는자동으로 refresh 되는실시간모니터링화면으로, 발생되는이벤트에대한종합적인관점을제공한다. 주요공격자 IP, 시간별공격동향그래프, 발생이벤트의위험도현황, 주요공격이벤트등종합적인통계를제공하여공격동향모니터링에유용하다. 그림 41 Event Overview 화면 나. Uniq Events Uniq Events는최근에발생한이벤트를카테고리화하여보여주는화면으로, 최근에발생한공격유형을파악하는데유용하다. 동일한이벤트가여러건발생하여도 Uniq Events 화면에서는동일카테고리로분류되므로, 현재환경에서어떤공격유형이주로발생하는지파악하는데유용하다. - 24 -

그림 42 Uniq Events 화면 다. Lists Events List Events는최근에발생한이벤트를시간순서로보여주는화면으로최근에어떤공격이발생했는지파악하는데유용하다. 동일한이벤트가여러건발생하는경우스캐닝등공격이이루어지고있는징후이므로공격자 IP 정보를파악하여신속히대응할필요가있다. 그림 43 List Events 화면 위험도별통계를통해공격의위험도분포를파악가능하다. - 25 -

그림 44 위험도별통계 공격유형별통계는 Snort 탐지룰상의공격유형 (classification) 에대응하는통계정보 를제공하여주로어떤유형의공격이발생하는지파악하는데유용하다. 그림 45 공격유형별통계 기타공격자 IP, 피해 IP, 공격포트, 피해포트등다양한통계정보를제공하며, 해당정 보를하루, 주간, 월간단위로파악할수있어내부네트워크상황모니터링및공격동향파악에유용하다. - 26 -