BASE와 Snort를 이용한 침입 탐지

이 튜토리얼은 Debian Sarge 시스템에 BASE(기본 분석 및 보안 엔진)와 Snort 침입 탐지 시스템(IDS)을 설치하고 구성하는 방법을 보여줍니다. BASE는 Snort IDS 시스템에서 오는 경고를 쿼리하고 분석하기 위한 웹 프론트 엔드를 제공합니다. BASE를 사용하면 Snort가 네트워크에서 탐지한 침입을 분석할 수 있습니다.

시나리오: Falko의 - 완벽한 설정 - Debian Sarge(3.1)에 따라 설정된 Debian Sarge 3.1을 실행하는 리눅스 서버입니다.
작동 중인 웹사이트(www.example.com)가 있고 문서 루트는 다음과 같습니다: /var/www/www.example.com/web
서버의 IP는 192.168.0.5이며 네트워크 인터페이스 이름으로 eth0을 사용하고 있습니다.

필요한 프로그램 및 파일

Snort
Snort 규칙
PCRE(Perl 호환 정규 표현식)
LIBPCAP
BASE(기본 분석 및 보안 엔진)
ADOdb(PHP(및 Python)를 위한 ADOdb 데이터베이스 추상화 라이브러리)

다운로드 및 압축 해제

다운로드하고 압축 해제할 모든 파일을 위한 임시 장소가 필요합니다.
간단하게 하기 위해 /root에 snorttemp라는 디렉토리를 생성합니다. (이 다운로드 디렉토리는 어떤 이름이든지, 어떤 장소에든지 만들 수 있습니다)

cd /root
mkdir snorttemp
cd snorttemp

이제 Snort를 가져와야 합니다.
작성 시점의 최신 버전은 2.6.0입니다.

wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

다운로드가 완료되면 파일의 압축을 해제합니다:

tar -xvzf snort-2.6.0.tar.gz

그리고 tar 파일을 제거합시다:

rm snort-2.6.0.tar.gz

Snort 규칙도 필요합니다!
다음으로 가세요: http://www.snort.org/pub-bin/downloads.cgi 그리고 “Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)” 규칙이 보일 때까지 아래로 스크롤합니다.
(포럼 회원이라면 - 등록 사용자 릴리스를 다운로드할 수도 있습니다):

wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

snortrules-pr-2.4.tar.gz를 snort-2.6.0 폴더로 이동합니다:

mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0

그리고 snort-2.6.0으로 이동합니다:

cd snort-2.6.0

snortrules-pr-2.4.tar.gz 파일의 압축을 해제합니다:

tar -xvzf snortrules-pr-2.4.tar.gz

tar 파일을 제거합니다:

rm snortrules-pr-2.4.tar.gz

Snort를 작동시키기 위해 필요한 파일 다운로드가 완료되었습니다.
BASE와 함께 Snort를 작동시키기 위해 더 많은 것이 필요합니다!

PCRE - Perl 호환 정규 표현식.

다음으로 가세요: http://www.pcre.org/ 그리고 pcre-6.3tar.gz 파일을 다운로드할 링크를 선택하여 PCRE를 다운로드합니다(작성 시점에는 pcre-6.3.tar.gz입니다).
snorttemp 폴더로 다시 이동합니다:

cd /root/snorttemp

그리고 pcre-6.3.tar.gz 파일을 다운로드합니다:

wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz

파일의 압축을 해제합니다:

tar -xvzf pcre-6.3.tar.gz

tar 파일을 제거합니다:

rm pcre-6.3.tar.gz