-
VMware - Ubuntu에 Suricata 설치하기Security 2022. 5. 13. 20:01
SURICATA
: 오픈소스 IDS/IPS 시장의 최강자였던 Snort의 단점이었던 단일 스레드 방식으로 데이터 처리하던 것을 보완하여,
2009년 OSIF(Open Information Security Foundation)이라는 단체에서 발표한 오픈소스 IDS/IPS 프로그램으로 멀티 스레드, 멀티 코어를 지원하여 데이터를 처리합니다. Snort에서 쓰던 Rules를 그대로 사용할 수 있으며 그 외에도 기존의 기능을 모두 제공합니다.
설치 시작하겠습니다.
Ubuntu는 20.04.4 Version을 사용했습니다.
Suricata를 설치해보겠습니다. 잘 보시고 따라해주세요.
sudo apt update #부팅하면 항상 업데이트해줍니다.
sudo apt install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable #리포지토리 추가
sudo apt update #새로운 리포지토리를 대상으로 업데이트
sudo apt install suricata
sudo suricata-update #새로운 Rule 등 업데이트
sudo systemctl restart suricata #suricata 재시작
cd /etc/suricata/ #suricata 설치 경로
cd rules #rules(규칙)의 위치
less smb-events.rules #less smb에서 Tap키를 눌러주면 자동완성 #Rules 파일들을 볼 수 있으며 화면을 내리고 올릴 때는 화살표, page up/dow 키를 사용 #종료할 때는 q를 입력
Rules등은 Snort의 Rules와 호환되므로 다운로드해서 사용 가능하며, IDS뿐 아니라 IPS로도 동작 가능합니다.
cd /etc/suricata/
sido vi suricata.yaml #입력창이 보이지 않는다면 Shift + ;키를 누르고 나갈때는 q를 입력, 작성한 내용을 쓰고 나가려면 wq
환경 설정을 적절하게 변경할 수 있는데, 아직은 변경한 설정은 없고 여기에서 환경 설정을 할 수 있다는 정도만 알아두겠습니다.
sudo suricata -c /etc/suricata/suricata.yaml -q0 #Suricata 실행 명령
suricata를 실행할 때 사용하는 코드인데요 빨간 글씨가 떠가지고 무서워서 알아보니까
저게 뭔지 조금 더 알아보고 올게요. 이렇게 따라하시면 설치하고 Rules 확인하시는데는 문제 없을거 같습니다.
'Security' 카테고리의 다른 글
Linux E325 : ATTENTION 해결하기 (0) 2022.05.17 SAST, DAST - Sparrow (0) 2022.05.16 Check Point - Smart View, Smart Dash Board, IDS, IPS (0) 2022.05.13 HTTP Status Code - HTTP 응답 상태 코드 정리 (0) 2022.05.13 Firewall - 방화벽 (0) 2022.05.12