이제 snort 설정을 해야 한다
C:\Snort\etc 로 이동하여
snort.conf 파일을 열어보자
우선 위의 화면 처럼 리눅스 path 경로로 되어있다 (/) 이것을
(\)로 바꿔주자
그리고..
portvar 와 ipvar 로 되어있는 부분을 전부 var로 수정해야한다 (문서 전체) (스샷 없음)
170 라인 쪽에도 위의 화면 같이 되어있는데
아래 화면같이 바꿔준다
또......
# site specific rules 의 아래 include 부분을 다 선택하여 지워주고
아래와 같이 user.rules 라고 적어 준다
또또..
C:\snort\rules 폴더에 user.rules 파일을 만들고
alert icmp any any -> any any (msg:"ICMP TEST"; sid:50001;)
를 추가해주고
C:\Snort 에는 so_rules라는 파일을 만들어서
50001 || ICMP TEST 를 추가해주자
또또또...
위 화면같이 주석이 안되어 있는 부분을 주석 처리해주자
마지막으로
아래와 같이 # database 부분에
output database: alert, mysql, user=root password=apmsetup dbname=snort host=localhost
output database: log, mysql, user=root password=apmsetup dbname=snort host=localhost
를 추가해 주자
이제 아까 snort\rules\user.rules에 추가해둔 icmp 탐지 룰을 이용하여
snort가 제대로 작동하는지 테스트 해보자
우선 테스트를 위해 방화벽을 꺼놓자
방화벽을 껏으면 C:\Snort\bin 으로 이동하여
CMD 창을 열고
snort -W 를 입력해 본다
그럼 index 부분에 네트워크 카드 번호가 나오는데
여기서는 네트워크 카드가 1개라 1개만 나온다
1번 네트워크 카드를 사용하자
snort -c C:\Snort\etc\snort.conf -l C:\Snort\log -i 1
snort -c [설정파일] -l [로그경로] -i [네트워크 카드 번호]
이제 Snort가 에러없이 실행되었다면..
다른 PC를 이용하여 IDS를 설치한 Windows 10으로 PING을 보내보았다
Windows 10에서 base 화면을 보면 ICMP를 감지했다는걸 볼 수 있다
핑을 한 번 보내면
icmp Request(8)와 icmp echo reply(0) [주고 받고]
4개의 핑을 보낸 결과
IDS에서 8개가 감지되었다
흠흠 룰 만드는 방법은
Snort 설치&실습.pdfPDF를 다운로드 받아서 보면 좋을거 같아용