security onion 설치해야한다.
최소 100gb 램은 4기가 정도
security onion 14.04.4.2
를다운한다
vmware esxi6.0 키기
->pfsense->네트워킹구성
오른쪽 위 네트워킹 추가
가상시스템->
하기
(VSwitch2)속성누르기
속성에서->span누르고 편집->
->보안
다동의하고 체크하기
->wire shark에서->
톱니바퀴 누르기
enable promiscuous mode on all interfaces
체크 꼭하기
(wireshark)
--
네트워크를 설정햇으니 이제
->새가상시스템 우클릭해서 진행 -> 표준모드
진행하기 위와같은 설정들로
esc esc-> enter 누르면된다.
(안되면 전원껏다가 다시키고 진행)
enter후
기다리기
yes
오래동안 진행합니다.
무조건 영어로 진행합니다.
한국어로하면 오류확률매우높다
진행
무조건 영어로
continue 누르기
진짜 겁나게오래걸리니까 기다리면된다
snort(스노트) 기본적인 사용 문법---------------------------------
[패턴 매칭 기반 IDS]------------------------------
&HOME_NET : 내부 IP 주소:192.168.0
&EXTERNAL_NET : 외부 IP 주소
src->dest
src <> dest
alert tcp any any > any any(msg:"this it alert"; content:|00 4C A1|;)
alert tcp any any > any any(msg:"this it alert"; content:"hacker";)
해커라는 단어를 탐지하는데 시간이걸릴수도있다
그러면
추가를한다
alert tcp any any > any any(msg:"this it alert"; content:"hacker"; offset:3; depth:10;)
(source ) (destination)
헤더는 > 여기까지 (부터 옵션이라고한다)
(여기서 소스는 원천지라고생각하면된다)
패킷의 단위가 tcp , source 가 any , 목적지가 any일떄
시작이 3byte부터 10byte까지 hacker라는 단어가있으면 alert이라는 단어를 출력해라
offset과depth 는 거의 같이오는애라고생각하면된다
alert tcp any any > any any(msg:"this it alert"; content:"hacker"; offset:3; depth:10; content:|00 11 22|; distance:20; within:30;)
00 11 22 라는 바이너리 코드를 찾는데
해커라는 단어를 포함된것을 3~10byte
distance 와 within 바늘과 실같은존재
nocase; : 대소문자를 구분하지마라
SPAN------
트래픽을 복사(포트미러링)
패킷,트래픽을 탐지
'통합 인프라 보안' 카테고리의 다른 글
| security onion(squert) 로그확인 (0) | 2020.12.15 |
|---|---|
| vmware esxi(vSphere Client)에 security onion 설정, open VPN설정 (0) | 2020.12.14 |
| vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 snort 설정 -2 용어 정리 (0) | 2020.12.11 |
| vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 snort 설치 및 설정 (0) | 2020.12.11 |
| vmware esxi(vSphere Client)에 pfsense 2.4.5를 사용하여 web_server-ACL 설정 (0) | 2020.12.10 |