보안교과서
[SK shieldus 새싹 성동1기] Snort Rule 구조 본문
in-line 모드
그림을 보면 방화벽 다음 일렬로 거치게 되어있는 것 처럼 네트워크 방화벽 구성과 동일하게 모든 트래픽이 ips/ids를 거쳐야 목적지로 전송될 수 있도록 네트워크를 구성한 것 입니다.
그래서 모든 패킷을 실시간 검사하기 때문에 빠른 대응이 가능합니다.
하지만 보안장비 성능이 높아야하고 장비에 오류가 발생했을 때를 대비해 다른 장비로 트래픽을 전달하는 구조가 필요합니다.
그래서 물리적인 Bypass 또는 이중화를 통해 Fail-over가 될 수 있도록 하여야 한다.
Fail-over: 컴퓨터 서버, 시스템, 네트워크 등에서 이상이 생겼을때 시스템 대체 작동 또는 장애 극복을 위하여 예비 시스템으로 자동전환되는 기능이다.
SPAN mode
보안장비가 트래픽의 사본을 입수하여 기능을 수행하도록 설계된 구조, 일반적으로 스위치 장비나 라우터의 미러링 포트를 이용합니다. 인라인 모드와 다르게 미러링 포트를 사용하기 때문에 보안 장비의 존재를 숨기는데 용이합니다. 그래서 네트워크의 안정성이 인라인 모드에 비해 높은 편 입니다. 미러링 포트를 사용함으로써 패킷에 대한 대응이 느리고 구성이 복잡합니다.
1. 스니퍼 모드
TCP/IP 패킷의 정보를 읽고 콘솔에 출력함
2. 패킷 로거 모드
모니터링 한 패킷을 저장하고 디스크에 로그를 남김
3. 네트워크 침입탐지 모드
가장 많이 사용되는 모드로, 룰셋을 기반으로 네트워크 트래픽을 분석하여 공격을 탐지하거나 차단함
Snort의 구성요소
탐지한 데이터를 일정한 형태로 변환해 감지되면 알람
Network Segment -> Sniffer -> Preprocessor -> DetectionEngine () -> Alert / Logging
Snort의 구조
사용자가 정한 룰을 기반으로 패킷을 탐지함
룰은 RTN(Rule Tree Node) , OTN(Option Node Tree)으로 구성되어 있음
RTN은 룰 탐지 시 처리 방법, 프로토콜, 패킷의 방향, 출발지 및 도착지 IP 와 포트 등을 기반으로 패킷을 검사함
OTN은 그 외 Alert 메시지를 정의하거나 패킷의 내부 조사 등으로 패킷을 처리합니다. OTN은 기술하지 않아도 정당한 룰로 인식됨
Snort 헤더 분석
Snort 옵션 분석
Snort 기본 설정 및 공격 탐지
