VMware - Ubuntu에 Suricata 설치하기

SURICATA Logo

SURICATA

: 오픈소스 IDS/IPS 시장의 최강자였던 Snort의 단점이었던 단일 스레드 방식으로 데이터 처리하던 것을 보완하여,

2009년 OSIF(Open Information Security Foundation)이라는 단체에서 발표한 오픈소스 IDS/IPS 프로그램으로 멀티 스레드, 멀티 코어를 지원하여 데이터를 처리합니다.  Snort에서 쓰던 Rules를 그대로 사용할 수 있으며 그 외에도 기존의 기능을 모두 제공합니다.

 

설치 시작하겠습니다.

Ubuntu는 20.04.4 Version을 사용했습니다.

Suricata를 설치해보겠습니다. 잘 보시고 따라해주세요.

sudo apt update #부팅하면 항상 업데이트해줍니다.

sudo apt install software-properties-common

sudo add-apt-repository ppa:oisf/suricata-stable #리포지토리 추가

'

sudo apt update #새로운 리포지토리를 대상으로 업데이트

sudo apt install suricata

캡쳐 이외에도 좀 더 다운 받아집니다.

sudo suricata-update #새로운 Rule 등 업데이트

sudo systemctl restart suricata #suricata 재시작

cd /etc/suricata/ #suricata 설치 경로

cd rules #rules(규칙)의 위치

less smb-events.rules
#less smb에서 Tap키를 눌러주면 자동완성
#Rules 파일들을 볼 수 있으며 화면을 내리고 올릴 때는 화살표, page up/dow 키를 사용
#종료할 때는 q를 입력

내부의 내용을 볼 수 있습니다.

Rules등은 Snort의 Rules와 호환되므로 다운로드해서 사용 가능하며, IDS뿐 아니라 IPS로도 동작 가능합니다.

cd /etc/suricata/

sido vi suricata.yaml
#입력창이 보이지 않는다면 Shift + ;키를 누르고 나갈때는 q를 입력, 작성한 내용을 쓰고 나가려면 wq

/etc/suricata의 경로로 들어가서 suricata.yaml에 들어갑니다.

환경 설정을 적절하게 변경할 수 있는데, 아직은 변경한 설정은 없고 여기에서 환경 설정을 할 수 있다는 정도만 알아두겠습니다.

sudo suricata -c /etc/suricata/suricata.yaml -q0 #Suricata 실행 명령

suricata의 실행명령입니다.

suricata를 실행할 때 사용하는 코드인데요 빨간 글씨가 떠가지고 무서워서 알아보니까

이렇다고 하는데요

rules의 리스트를 보고

rules를 확인하는데에는 문제가 없었습니다.

저게 뭔지 조금 더 알아보고 올게요. 이렇게 따라하시면 설치하고 Rules 확인하시는데는 문제 없을거 같습니다.